Como implementar a LGPD nos cartórios notariais e de registro?
A Lei Geral de Proteção de Dados – Lei 13.709/2018 ou LGPD trouxe diversas disposições acerca da forma adequada para o tratamento de dados pessoais, por pessoa naturais ou por pessoas jurídicas de direito público ou privado, tanto em meios físicos como nos meios digitais, objetivando a tutela dos direitos fundamentais de privacidade e liberdade, bem como o livre desenvolvimento da pessoa natural.
Por isso, a Lei Geral de Proteção de Dados é aplicável aos registradores e notários em todo o território nacional, uma vez que estas entidades administram grandes bases de dados pessoais e, por conseguinte, tem o dever de garantir a publicidade, a segurança, a autenticidade, bem como a eficácia dos atos jurídicos, com vistas à qualidade dos dados dos quais detém a guarda. Os cartórios notariais e de registro realizam diversas modalidades de tratamento de dados, desde a coleta, classificação, uso, processamento, armazenamento, compartilhamento, transferência e a eliminação dos dados, devendo todas essas operações de tratamento de dados pessoais serem realizadas com máxima cautela e em estrita observância à legislação aplicável.
Por isso, hoje vamos dar algumas dicas sobre a implementação da LGPD na prática para os cartórios notariais e de registro.
A primeira dica é observar o Provimento 74/2018 do CNJ e dar início à revisão ou implementação de políticas internas para o completo atendimento das disposições do Provimento.
Visando estabelecer parâmetros de orientação aos serviços notariais e registrais, o Conselho Nacional de Justiça editou o Provimento 74/2018, para fins de estabelecer padrões mínimos de segurança, integridade e disponibilidade de dados, cujas disposições deverão ser implementadas e cumpridas pelos registradores e notários.
Para atender ao disposto no Provimento, bem como à legislação, as entidades deverão adotar posturas capazes de garantir a privacidade, a proteção dos dados pessoais e a segurança das informações.
Nesse caso, a segunda dica é a realização do Assessment inicial, começando pela criação de um Comitê interno tanto para o levantamento inicial das primeiras atividades do Assessment quanto para gestão de crises.
Nesse caso a nossa terceira dica é a realização do mapeamento e classificação inicial dos dados, atividade que deve ser realizada dentro do Assessment, cuja realização dará suporte à implementação das demais disposições previstas na legislação e necessárias ao plano de conformidade. Posteriormente à etapa de mapeamento, sugere-se a elaboração do relatório de diagnóstico para identificação dos gaps (brechas) de segurança, a fim de que possa ser desenhado o plano de ação correspondente, a fim de que os riscos mais iminentes possam ser mitigados.
Um das disposições previstas na Lei Geral de Proteção de Dados é a exigência acerca da limitação da quantidade de dados a serem tratados, bem como a abrangência destes dados, de modo que o tratamento a ser realizado se restrinja à utilização do mínimo necessário ao alcance dos objetivos do controlador/operador.
Para que o Plano de Conformidade atinja os seus propósitos, nossa quarta dica é a implementação de medidas técnicas e administrativas de segurança da informação, aptas à proteção dos dados pessoais de acesso por pessoas não autorizadas.
Visando atender a esta medida, uma recomendação é a utilização do sistema de escalas de permissão. Por meio da implementação deste sistema os dados só poderão ser acessados por alguém que possua um perfil com tal permissão. Este acesso, contudo, ocorrerá mediante inserção de senha, biometria ou certificado digital capaz de possibilitar a identificação de quem realizou o acesso.
Ainda dentro do plano relacionado às medidas de segurança da informação é relevante o desenvolvimento de um Plano de Continuidade de Negócios. Este plano é fundamental em uma hipótese de incidente de segurança, uma vez que possibilita uma estratégia para a recuperação de informações que porventura tenham sido perdidas, bem como a facilitação em relação à transmissão do acervo de informações em caso de sucessão, por exemplo.
Nossa quinta dica está relacionada à adoção de medidas de segurança e integridade dos dados dos quais as entidades possuem a guarda e realizam o armazenamento. Nesse sentido, em atenção, também, às disposições do Provimento, as serventias deverão realizar backups das informações tanto em mídia eletrônica quando em backup em nuvem. A fim de conferir maior segurança, é altamente recomendável que estes backups (mídias eletrônicas) estejam armazenados fora das instalações da serventia.
A implementação de Firewalls visando a proteção das informações às ameaças externas é a nossa sexta dica. Nesse ponto, sugere-se a observância à classe a qual a serventia se insere, pois as recomendações dependerão desta classificação.
Por fim, nossa última dica é no sentido das entidades providenciarem um material informativo e educativo que possibilite o entendimento acerca da necessidade de manter um ambiente permeado pela privacidade e proteção dos dados extensivo aos colaboradores, auxiliares e prepostos, além de atender a um requisito da lei, tal postura ainda poderá ser vista pela ANPD (Autoridade Nacional de Proteção de Dados) como uma boa prática.
Em que pese a Lei Geral de Proteção de Dados ainda não estar vigente a implementação das medidas técnicas e administrativas aqui mencionadas revelam-se positivas, visto que conferem maior credibilidade aos serviços prestados, tornando as atividades mais transparentes e aderentes à legislação que tão logo passará a vigorar.
Provimento 74/2018 do CNJ.
PROVIMENTO N. 74, DE 31 DE JULHO DE 2018
Dispõe sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil e dá outras providências.
O CORREGEDOR NACIONAL DE JUSTIÇA, usando de suas atribuições constitucionais, legais e regimentais e
CONSIDERANDO o poder de fiscalização e de normatização do Poder Judiciário dos atos praticados por seus órgãos (art. 103-B, § 4º, I, II e III, da Constituição Federal de 1988);
CONSIDERANDO a competência do Poder Judiciário de fiscalizar os serviços notariais e de registro (arts. 103-B, § 4º, I e III, e 236, § 1º, da Constituição Federal);
CONSIDERANDO a competência do Corregedor Nacional de Justiça de expedir provimentos e outros atos normativos destinados ao aperfeiçoamento das atividades dos serviços notariais e de registro (art. 8º, X, do Regimento Interno do Conselho Nacional de Justiça);
CONSIDERANDO a obrigação dos notários e registradores de cumprir as normas técnicas estabelecidas pelo Poder Judiciário (arts. 37 e 38 da Lei n. 8.935, de 18 de novembro de 1994);
CONSIDERANDO o avanço tecnológico, a informatização e a implementação de sistemas eletrônicos compartilhados e de sistema de registro eletrônico que possibilita a realização das atividades notariais e de registro mediante o uso de tecnologias da informação e comunicação;
CONSIDERANDO a necessidade de se uniformizar a manutenção de arquivos eletrônicos/mídia digital de segurança dos livros e documentos que compõem o acervo dos serviços notariais e de registro, bem como de se imprimir eficiência a esse procedimento;
CONSIDERANDO os resultados obtidos nas inspeções realizadas, em 2016, 2017 e 2018, pela Corregedoria Nacional de Justiça nos serviços notariais e de registro do Brasil, tais como vulnerabilidade e situação de risco das bases de dados e informações afetas aos atos praticados;
CONSIDERANDO os estudos técnicos realizados pela Corregedoria Nacional de Justiça sobre a proteção da base de dados, os sistemas, as condições financeiras e o perfil de arrecadação dos serviços de notas e de registro do Brasil;
CONSIDERANDO as sugestões apresentadas nos autos do Pedido de Providência n. 0002759-34.2018.00.0000, em trâmite no Conselho Nacional de Justiça,
RESOLVE:
Art. 1º Dispor sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil.
Art. 2º Os serviços notariais e de registro deverão adotar políticas de segurança de informação com relação a confidencialidade, disponibilidade, autenticidade e integridade e a mecanismos preventivos de controle físico e lógico.
Parágrafo único. Como política de segurança da informação, entre outras, os serviços de notas e de registro deverão:
I – ter um plano de continuidade de negócios que preveja ocorrências nocivas ao regular funcionamento dos serviços;
II – atender a normas de interoperabilidade, legibilidade e recuperação a longo prazo na prática dos atos e comunicações eletrônicas.
Art. 3º Todos os livros e atos eletrônicos praticados pelos serviços notariais e de registro deverão ser arquivados de forma a garantir a segurança e a integridade de seu conteúdo.
1º Os livros e atos eletrônicos que integram o acervo dos serviços notariais e de registro deverão ser arquivados mediante cópia de segurança (backup) feita em intervalos não superiores a 24 horas.
2º Ao longo das 24 horas mencionadas no parágrafo anterior, deverão ser geradas imagens ou cópias incrementais dos dados que permitam a recuperação dos atos praticados a partir das últimas cópias de segurança até pelo menos 30 minutos antes da ocorrência de evento que comprometa a base de dados e informações associadas.
3º A cópia de segurança mencionada no § 1º deverá ser feita tanto em mídia eletrônica de segurança quanto em serviço de cópia de segurança na internet (backup em nuvem).
4º A mídia eletrônica de segurança deverá ser armazenada em local distinto da instalação da serventia, observada a segurança física e lógica necessária.
5º Os meios de armazenamento utilizados para todos os dados e componentes de informação relativos aos livros e atos eletrônicos deverão contar com recursos de tolerância a falhas.
Art. 4º O titular delegatário ou o interino/interventor, os escreventes, os prepostos e os colaboradores do serviço notarial e de registro devem possuir formas de autenticação por certificação digital própria ou por biometria, além de usuário e senha associados aos perfis pessoais com permissões distintas, de acordo com a função, não sendo permitido o uso de “usuários genéricos”.
Art. 5º O sistema informatizado dos serviços notariais e de registro deverá ter trilha de auditoria própria que permita a identificação do responsável pela confecção ou por eventual modificação dos atos, bem como da data e hora de efetivação.
1º A plataforma de banco de dados deverá possuir recurso de trilha de auditoria ativada.
2º As trilhas de auditoria do sistema e do banco de dados deverão ser preservadas em backup, visando a eventuais auditorias.
Art. 6º Os serviços notariais e de registro deverão adotar os padrões mínimos dispostos no anexo do presente provimento, de acordo com as classes nele definidas.
Parágrafo único. Todos os componentes de software utilizados pela serventia deverão estar devidamente licenciados para uso comercial, admitindo-se os de código aberto ou os de livre distribuição.
Art. 7º Os serviços notariais e de registro deverão adotar rotina que possibilite a transmissão de todo o acervo eletrônico pertencente à serventia, inclusive banco de dados, softwares e atualizações que permitam o pleno uso, além de senhas e dados necessários ao acesso a tais programas, garantindo a continuidade da prestação do serviço de forma adequada e eficiente, sem interrupção, em caso de eventual sucessão. Art. 8º Os padrões mínimos dispostos no anexo do presente provimento deverão ser atualizados anualmente pelo Comitê de Gestão da Tecnologia da Informação dos Serviços Extrajudiciais (COGETISE).
1º Comporão o COGETISE:
I – a Corregedoria Nacional de Justiça, na condição de presidente;
II – as Corregedorias de Justiça dos Estados e do Distrito Federal;
III – a Associação dos Notários e Registradores do Brasil (ANOREG/BR);
IV – o Colégio Notarial do Brasil – Conselho Federal (CNB/CF);
V – a Associação Nacional dos Registradores de Pessoas Naturais do Brasil (ARPEN/BR);
VI – o Instituto de Registro Imobiliário do Brasil (IRIB/BR); VII – o Instituto de Estudos de Protesto de Títulos do Brasil (IEPTB/BR); e
VIII – o Instituto de Registro de Títulos e Documentos e de Pessoas Jurídicas do Brasil (IRTDPJ/BR).
2º Compete ao COGETISE divulgar, estimular, apoiar e detalhar a implementação das diretrizes do presente provimento e fixar prazos para tanto.
Art. 9º O descumprimento das disposições do presente provimento pelos serviços notariais e de registro ensejará a instauração de procedimento administrativo disciplinar, sem prejuízo de responsabilização cível e criminal.
Art. 10. A Recomendação CNJ n. 9, de 7 de março de 2013, e as normas editadas pelas corregedorias de justiça dos Estados e do Distrito Federal permanecem em vigor no que forem compatíveis com o presente provimento.
Art. 11. Este provimento entra em vigor após decorridos 180 dias da data de sua publicação.
Ministro JOÃO OTÁVIO DE NORONHA
