LGPD nos cartórios do Ceará: interpretações estabelecidas no provimento 12/2022/CGJ-CE

Em 29 de julho, a Corregedoria-Geral da Justiça do Ceará publicou o Provimento 12/22/CGJ-CE, que estabelece parâmetros para o tratamento de dados pessoais nos serviços extrajudiciais de notas e de registro do estado. Este é mais um caso de corregedoria local que disciplina as diretrizes sobre o assunto, enquanto aguarda a Corregedoria Nacional de Justiça publicar a versão definitiva da minuta de provimento submetida à consulta pública entre 8 e 28 de fevereiro¹. 

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18 ou LGPD) entrou em vigor em agosto de 2020 e criou uma série de obrigações para organizações públicas e privadas que, em suas atividades, realizam tratamento de dados pessoais. Por se tratar de uma norma geral, mas com repercussão setorial, é preciso que ela seja objeto de implementações específicas para garantir seu cumprimento nas diversas esferas econômicas e governamentais, considerando a legislação e as peculiaridades de cada área. 

Essa foi a intenção da CGJ-CE ao estabelecer medidas práticas para implementação da lei 13.709/18 no âmbito notarial e registral cearense. Por outro lado, o Provimento deixa algumas dúvidas sobre os procedimentos, bem como se vale de entendimentos conceituais não alinhados aos da Autoridade Nacional de Proteção de Dados (ANPD). 

Este artigo busca elucidar os principais pontos de atenção do novo marco normativo para os cartórios do Ceará, bem como trazer reflexões acerca da sua compatibilidade com o cenário de proteção de dados do país. 

1. A acertada determinação para indicação de encarregado 

O Provimento preconiza a nomeação de um encarregado pelo tratamento de dados pessoais (art. 7º, caput), figura instituída pela LGPD², cuja indicação pelo controlador, em regra, é obrigatória³. Assim, as serventias devem nomear um encarregado integrante do seu quadro de prepostos ("encarregado interno") e/ou um prestador terceirizado de serviços técnicos ("encarregado externo" ou "DPO as a service") - figura que, de acordo com a ANPD⁴, pode ser pessoa física ou jurídica (art. 7º, §1º). Além disso, o Provimento 12/22/CGJCE também permite que prestadores de serviços técnicos com remuneração integralmente paga, ou subsidiada, pelas entidades representativas de classe sejam nomeados (art. 7º, §2º).

A Autoridade Nacional de Proteção de Dados (ANPD) recomenda que o encarregado tenha liberdade na realização de suas atribuições⁵. No tocante às suas qualificações profissionais, estas devem ser definidas considerando conhecimentos de proteção de dados e segurança da informação que atendam às necessidades das operações de tratamento de dados pessoais.

Uma questão, porém, ainda precisa ser definida pela ANPD. Embora existam serventias extrajudiciais dos mais variados portes, responsáveis pelo tratamento de diferentes volumes de dados pessoais, ainda não há um regramento de dispensa de indicação de encarregado. Ou seja, por enquanto, todos os delegatários devem indicar um profissional para o cargo⁶. 

2.  Respeito ao princípio da transparência defendido pela LGPD

 A norma cearense dedica o artigo 8º a dar dimensão prática ao princípio da transparência insculpido na lei 13.709/18⁷. De acordo com o documento, é preciso divulgar a política de privacidade e o canal de atendimento aos usuários por meio de cartazes afixados nas unidades e de avisos contidos em suas páginas na internet. Como medida adicional, eles também podem ser divulgados nos recibos entregues para as partes solicitantes dos atos. 

Essas providências indicadas pela CGJ-CE permitirão aos titulares dos dados entenderem o contexto do seu uso, bem como o exercício de direitos contidos no art. 18 e seguintes da LGPD. 

3. A necessária atenção ao conceito de "operador"

O art. 5º, caput, do Provimento 12/22/CGJ-CE dispõe que os delegatários poderão nomear operadores integrantes e operadores não integrantes do seu quadro de prepostos para o tratamento dos dados pessoais, desde que na qualidade de prestadores terceirizados de serviços técnicos.

Todavia, deve-se ter cautela na interpretação deste dispositivo. Os prepostos do agente delegado (controlador) não são operadores - eles apenas atuam sob seu poder diretivo.

Conforme já pacificado pela ANPD no "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado"⁸, o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este. Por esta razão, deve-se evitar a confusão dessas figuras - preposto do controlador e operador. Os modelos de contratação são diferentes, assim como o regime de responsabilização previsto na LGPD. 

O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador⁹. Já os prepostos do controlador, uma vez que não são tecnicamente agentes de tratamento, não respondem diretamente pelo dano. O controlador é quem será obrigado a repará-lo¹⁰. 

4. O que é o "sistema de controle de fluxo"?

Um dos procedimentos técnicos previstos no Provimento é a necessidade de se manter um "sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro" (art. 7º, §6º, I).

Antes de adentrar no objeto do trecho mencionado, insta pontuar que a inserção do termo "tratamento" em sua redação não foi adequada, pois não se trata de um "tipo de utilização" de dados. Tratamento é toda operação realizada com dados pessoais, abarcando o ciclo de vida das informações, passando por etapas como coleta, armazenamento, compartilhamento e eliminação¹¹. É, na verdade, um gênero com muitas espécies.

Como o Provimento não esclarece o que é o sistema de controle de fluxo - que não é citado na LGPD ou nos documentos da ANPD - depreende-se, a partir das informações contidas no art. 9º, II, que se trata da materialização do mapeamento das atividades de tratamento de dados. Esse procedimento, considerado uma boa prática em governança de dados, busca identificar e registrar as atividades que envolvem informações pessoais, conforme preconiza a LGPD no art. 37¹². Seu produto jogará luz sobre os dados tratados e sobre as operações a que estão sujeitos, tais como coleta, armazenamento, compartilhamento e eliminação.

O registro das atividades de tratamento deve ser realizado a partir dos processos internos do cartório, abarcando os atos inerentes ao exercício dos respectivos ofícios (atividade-fim) e o gerenciamento administrativo e financeiro da unidade (art. 10). Nele é preciso constar a finalidade do tratamento e a base legal ou normativa que o autoriza, bem como a descrição dos titulares envolvidos e da categoria dos dados processados.

É importante salientar, porém, que a norma cearense também determina o registro das situações de uso de dados anonimizados¹³ -, os quais, para fins da lei 13.709/18, não são pessoais, pois, tecnicamente, não possuem capacidade de identificar uma pessoa natural. 

Uma vez que o Art. 9º, II, do Provimento fixa que o controle de fluxo envolve o registro de tratamento de dados pessoais, a determinação de inclusão de atividades com dados anonimizados pode proporcionar uma confusão conceitual aos aplicadores da norma. Mais adequado teria sido estipular o registro das operações envolvendo dados pseudonimizados¹⁴, considerando a possibilidade de reversão do processo de anonimização, permitindo a associação, direta ou indireta, das informações a um indivíduo.

As serventias poderão fazer uso de formulários e programas de informática fornecidos pelas entidades representativas de classe, devidamente adaptados para cada especialidade dos serviços extrajudiciais de notas e de registro, a fim de concretizarem o registro e o controle das informações pessoais tratadas nas respectivas unidades (art. 12, caput).

5. Segurança da informação e pontos controversos

Aparentemente deslocadas na redação do art. 9º, II, as alíneas "j" e "l" preconizam que os registros das atividades de tratamento de dados pessoais contenham informações sobre a política de segurança da informação e os planos de respostas a incidentes de segurança com dados pessoais. Tais documentos, entretanto, não compõem os registros das operações de tratamento. Integram, em verdade, o rol de medidas organizacionais de segurança, estruturadas e institucionalizadas em forma de documentos.

A política de segurança da informação deverá elencar as condutas e as ações a serem adotadas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito¹⁵.

O plano de resposta a incidentes, por sua vez, elencará os procedimentos a serem aplicados em caso de incidente de segurança envolvendo dados pessoais, a fim de contê-lo e erradicá-lo, bem como apurar as causas e comunicar a ocorrência aos titulares e às autoridades nos casos pertinentes¹⁶.               

Além disso, o Provimento determina que esse plano preveja a comunicação do incidente ao juiz corregedor permanente e à Corregedoria-Geral da Justiça, no prazo máximo de 24 horas. É necessário explicar a natureza da ocorrência, as medidas adotadas para apurar as causas, como será a mitigação de novos riscos e quais os impactos causados aos titulares dos dados (art. 13, caput).

A norma cearense, porém, não prevê a comunicação do incidente à ANPD, indo de encontro ao que preza o art. 48 da LGPD. Tampouco leva em consideração que o mesmo artigo da lei 13.709/18 determina apenas a comunicação de eventos que possam acarretar risco ou dano relevante aos titulares. Ou seja, é preciso fazer uma análise desse potencial, para evitar que o dever de comunicação represente um esforço desproporcional às serventias extrajudiciais.

Cumpre ressaltar, ainda, que a Autoridade Nacional recomenda, enquanto pendente a regulamentação do tema, que a comunicação seja feita no prazo de dois dias úteis, contados da data do conhecimento do incidente¹⁷. Nesse sentido, o tempo indicado no Provimento não se encontra alinhado à orientação da ANPD e, na prática, pode ser de difícil cumprimento. 

Embora o prazo exíguo evidencie a preocupação da CGJ-CE com uma pronta resposta em caso de incidentes, é preciso considerar a necessidade de apuração prévia para atestar sua efetiva ocorrência, sendo esta investigação preliminar o procedimento que consolida, de fato, o conhecimento sobre o evento. Ademais, é esse exame que permite a reunião das informações que devem ser comunicadas ao Poder Judiciário. 

6. Novos caminhos de abordagem pela CGJ-CE

A LGPD permite explorar outros pontos não mencionados pelo Provimento 12/22/CGJ-CE, os quais, inclusive, são objeto de muitas dúvidas de serventias extrajudiciais. Um deles é a realização de análise de vulnerabilidades do cartório (gap assessment).

A partir do mapeamento das atividades de tratamento, é possível evidenciar problemas nos controles de acesso às informações, medidas de segurança inadequadas, dados tratados em excesso¹⁸ ou, até mesmo, o uso de informações pessoais de forma ilegal¹⁹. Nesse sentido, os insumos coletados poderão ser utilizados na análise de lacunas relacionadas à proteção de dados pessoais. E cabe às serventias avaliar as vulnerabilidades encontradas, a fim de tratar os riscos existentes, seja para conviver com eles, mitigá-los ou eliminá-los.

Embora seja uma boa prática - e, não obstante, o CNJ tenha demonstrado, na minuta de provimento submetida à consulta pública em fevereiro, o interesse em cobrar dos cartórios a realização do gap assessment -, a Corregedoria do Ceará optou por não discutir essa medida.

Outro ponto não explorado pelo Provimento foi a elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD)²⁰ em operações de tratamento que possam gerar risco a direitos e liberdades fundamentais do titular. Nele deve conter a descrição dos processos de tratamento, além das medidas, salvaguardas e mecanismos de mitigação dos riscos. Assim, sua formulação depende da boa condução do mapeamento, do gap assessment e da adoção das medidas de conformidade.

O RIPD ainda é fruto de muitos questionamentos de agentes delegados e seus encarregados, seja no tocante à composição do documento, seja quanto às situações concretas que ensejam a sua elaboração. Tais tópicos não foram detalhados pelo Provimento e o Relatório de Impacto mereceu apenas uma breve passagem na norma cearense.

Por isso, a CGJ-CE pode aproveitar a atenção direcionada à proteção de dados para também uniformizar orientações sobre os instrumentos mencionados, enquanto diretrizes no âmbito nacional ainda são formuladas.

*

É elogiável o passo dado pelo Poder Judiciário cearense ao editar o dispositivo analisado neste artigo, uma vez que demonstra responsabilidade e preocupação com o assunto. Apesar de possuir atecnias pontuais - que certamente serão ajustadas em futuros aperfeiçoamentos, bem como quando da publicação do provimento do CNJ sobre o assunto -, a norma do estado já traz medidas práticas e alinhadas ao espírito preventivo e protetivo da legislação em vigor.

Assim como qualquer processo de adequação, a mudança de cultura será contínua e as compreensões da CGJ-CE sobre proteção de dados pessoais serão objeto de amadurecimento e aprimoramento. Entendidos os pontos de atenção, a norma divulgada merece a observância dos cartórios e representa um primeiro parâmetro para uniformização de condutas no sistema extrajudicial no estado.

*****

_____________

1 CONSELHO NACIONAL DE JUSTIÇA. Edital de Abertura de Consulta Pública - Minuta de Provimento sobre LGPD. Disponível em: https://www.cnj.jus.br/wp-content/uploads/2022/02/edital-de-consulta-publica-provimento-lgpd-1.pdf. Acesso em: 08 de ago. de 2022.

2 Art. 5º, VII, LGPD: encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).