LGPD Para Cartórios

Aprenda com Sandman como funciona a aplicação da LGPD no mundo dos Cartórios!

A série Sandman, que está bombando na Netflix, pode explicar muito sobre como funciona a aplicação da Lei Geral de Proteção de Dados para os cartórios do Brasil. 

Nós vamos te contar o que está nas entrelinhas de Sandman, LGPD e Cartórios, que ninguém te contou.

Sandman, também conhecido como o Rei dos Sonhos, possui um reino que controla os sonhos de todas as pessoas, ele tem conhecimento sobre todas as preferências, gostos, desejos e outras informações por meio dos sonhos dos humanos. 

O reino dos sonhos é responsabilidade de Sandman! 

Ele é o responsável por estabelecer as regras em seu reino e que devem ser observadas e seguidas por todos. 

Por isso, Sandman se preocupa com a proteção do reino dos sonhos e faz de tudo para conseguir manter a ordem no local, sob o risco de expor os humanos às consequências drásticas.

Assim como Sandman é a figura mais importante do reino dos sonhos, responsável por manter a ordem no local e por controlar tudo internamente, de forma semelhante é tratado o tabelião de um cartório, pois é a autoridade máxima dentro do cartório, sendo considerado controlador de dados e possuidor de dados e informações de inúmeras pessoas.  

Assim como Sandman controla vários aspectos do reino dos sonhos e deve mantê-lo seguro, de modo parecido, o tabelião é considerado controlador de dados, por ser responsável pela tomada de decisão referente ao tratamento de dados dos titulares e deve proteger os dados em conformidade com a LGPD. 

Para manter seu reino em ordem, Sandman precisa de ajuda de outras criaturas poderosas que seguem suas orientações. 

Pensando nas atividades dos cartórios, os parceiros e fornecedores que auxiliam determinado cartório devem respeitar as regulamentações, a LGPD e as orientações estabelecidas pelo próprio tabelião sobre a proteção de dados pessoais.  

Quer saber como a Lei Geral de Proteção de Dados se aplica ao reino dos sonhos cartório? Então, confira nosso artigo até o final, pois preparamos um bônus com 5 dicas essenciais sobre LGPD para cartórios

 Mas se você ainda não conhece a Lei Geral de Proteção de Dados, indicamos a leitura do nosso artigo  Lei Geral de Proteção de Dados: 5 motivos para implementá-la agora mesmo!

Como a LGPD se aplica aos cartórios?

Diferente do que muitas pessoas pensam, a Lei Geral de Proteção de Dados não é apenas para empresas, isso significa que ela também se aplica aos Cartórios e outros agentes de tratamento de dados. 

Isso mesmo, a LGPD se aplica aos cartórios, mas existem algumas particularidades. 

Para que você possa entender como funciona a aplicação da LGPD, será necessário, antes de tudo, compreender a natureza híbrida dos cartórios. Tal natureza decorre dos serviços notariais e de registro serem exercidos em caráter privado, mas por delegação do Poder Público, conforme o art. 236 da Constituição Federal de 1988. 

Isso pode gerar dúvidas sobre se a aplicação da LGPD para cartórios segue a lógica das pessoas jurídicas de direito privado ou das pessoas jurídicas de direito público.

Essa dúvida é bem comum, levando-se em consideração a natureza híbrida dos cartórios, mas para evitar qualquer confusão sobre esse aspecto, precisamos informá-lo que os cartórios recebem o mesmo tratamento previsto para o setor público para fins de aplicação da LGPD. 

E o motivo para isso é o fato dos cartórios desenvolverem uma função pública que foi delegada aos particulares conforme a Constituição. 

Nesse sentido, a própria Autoridade Nacional de Proteção de Dados (ANPD, para facilitar) firmou o entendimento no Guia orientativo para definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, esclarecendo que:

Os notários e os oficiais de registro são designados como titulares das serventias extrajudiciais após aprovação em concurso público, atuando na condição de pessoa natural como delegatários do Poder Público. Por tal razão, a LGPD prevê que terão tratamento similar ao dispensado às pessoas jurídicas de direito público (art. 23, § 4º).

O entendimento da ANPD é fruto de uma interpretação do art. 23, §4º da LGPD, que estabelece aos  serviços notariais e de registros recebem o mesmo tratamento das pessoas jurídicas de direito público, devendo ser realizado para o atendimento da sua finalidade pública e na persecução do interesse público, visando executar ou cumprir suas atribuições legais. 

A partir disso, podemos realizar duas considerações:

 I) Os cartórios recebem o mesmo tratamento jurídico da LGPD para o poder público;

II) O tratamento realizado por cartórios também devem atender à finalidade pública e a persecução do interesse público;

Desse modo, a Lei Geral de Proteção de Dados se aplica a todos os cartórios, observando a mesma lógica para o poder público, devendo realizar tratamento de dados apenas para atender à finalidade pública e à persecução do interesse público. 

Portanto, é mito qualquer informação de que a LGPD não se aplica aos cartórios ou que não se aplica aos cartórios pequenos. Para ser mais precisa, portanto, tamanho do cartório não gera uma “exclusão”: na realidade, existem provimentos que estabelecem requisitos necessários para adequação à LGPD, conforme a classificação das serventias.

Aspectos essenciais da LGPD para cartórios

Os cartórios são considerados grandes repositórios de dados porque, de uma forma geral, costumam coletar e armazenar os dados pessoais dos titulares. Os titulares de dados são todas as pessoas físicas que trabalham internamente no próprio cartório e todas as demais pessoas físicas que o cartório presta serviços e atendimento. 

Isso significa que os cartórios possuem muitas informações sobre as pessoas, que são considerados dados pessoais e dados pessoais sensíveis, devendo ser protegidos conforme a LGPD.

Entender quais informações são tratadas pelos cartórios é muito importante, até mesmo para facilitar a elaboração de um bom mapeamento de dados. Por isso, vamos explicar o que é dado pessoal e dado pessoal sensível:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os cartórios realizam tratamento de dados biométricos, que são considerados dados pessoais sensíveis e necessitam de uma proteção especial, para evitar violações aos direitos dos titulares.

Ressalta-se que atributos biométricos são: “características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar”, conforme o art.2º, II Decreto nº 10.046/19.

Todos os dados e informações que são tratados pelos cartórios, formam um banco de dados e independentemente do tipo de suporte, eletrônico ou físico, devem ser adequados à Lei Geral de Proteção de Dados.

Então, quando pensamos em adequação de cartórios, estamos falando de uma mudança interna em todos os setores, arquivo, RH, TI, administração e outros, sendo necessário conscientizar os funcionários e colaboradores que lidam diariamente com os dados pessoais dos titulares. 

Os cartórios devem adotar medidas técnicas, preventivas e administrativas, bem como o desenvolvimento de boas práticas sobre proteção de dados. Todas essas mudanças internas são importantes para criar e fortalecer uma cultura organizacional de proteção de dados e promover uma governança de dados em conformidade com a LGPD.

Além disso, o tabelião deverá nomear um encarregado de dados nos termos do art. 41 da LGPD. Embora não seja uma exigência da lei, mas considera-se importante que a pessoa que vai ocupar a função de encarregado de dados tenha conhecimento sobre a legislação aplicável para auxiliar na adequação, bem como manter a governança de dados no cartório. 

O exercício da função de encarregado de dados poderá ser terceirizado mediante a contratação de prestação de serviços pessoa física ou pessoa jurídica, devendo ser formalizado em contrato escrito e ser arquivado em classificador próprio, conforme o art. 10 do Provimento nº 134/2022 do Conselho Nacional de Justiça (CNJ).

Um ponto que deve ser destacado no Provimento nº 134/2022 do CNJ, é a possibilidade da nomeação e contratação do encarregado de dados pelas serventias ser até de forma conjunta ou mesmo subsidiado ou custeado por entidade de classe.   

Sobre o encarregado de dados, nós temos o artigo “Encarregado de Dados (DPO): a figura que a sua empresa necessita para alçar voos seguros!”  que explica tudo o que você precisa saber.

O Encarregado realizará o canal de comunicação entre o cartório, os titulares e a Autoridade Nacional de Proteção de Dados.

Além de estabelecer orientações e diretrizes por meio de políticas e códigos sobre proteção de dados, as atividades desenvolvidas pelos cartórios precisam observar os direitos dos titulares e os princípios da boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas  estabelecidos na Lei Geral de Proteção de Dados. 

Nesse sentido, o provimento nº 134/2022 do CNJ estabeleceu, recentemente, as medidas a serem adotadas pelas serventias extrajudiciais para fins de adequação à LGPD, são elas:

• Nomear encarregado pela proteção de dados;

• Mapear as atividades de tratamento e realizar seu registro;

• Elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário;

• Adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais;

• Definir e implementar Política de Segurança da Informação;

• Definir e implementar Política Interna de Privacidade e Proteção de Dados;

• Criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares;

• Zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais; e

• Treinar e capacitar os prepostos.

Portanto, além dos procedimentos indicados acima, é muito importante verificar o porte da serventia conforme o Provimento nº 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça (Classe I, II ou III), e observadas as regulamentações da ANPD para implementar uma governança de dados conforme o volume e a natureza dos dados tratados, e proporcional à sua capacidade econômica e financeira para adoção de medidas técnicas e organizacionais. 

Entenda as particularidades da LGPD para os cartórios!

Agora que você já sabe que os cartórios seguem a mesma lógica do Poder Público para fins de adequação à Lei Geral de Proteção de Dados, podemos prosseguir explicando algumas particularidades sobre a adequação dos cartórios.

Lembra que falamos que Sandman é a figura mais importante do reino dos sonhos e é o responsável por controlar e manter o reino protegido? De forma semelhante é o tabelião, por ser o responsável pelo cartório e também ser o controlador de dados. 

Os responsáveis pelas serventias extrajudiciais são considerados controladores de dados pessoa física, esse é o entendimento firmado no Guia de Agentes de Tratamento de Dados e Encarregado da ANPD. 

Isso porque a atividade notarial e de registro é delegada, via concurso público de provas e títulos, a uma pessoa física, em razão disso, o tabelião exercerá o papel de controlador de dados, sendo responsável pela tomada de decisões sobre o tratamento de dados pessoais.

Além disso, para realizar a adequação faz-se necessário conhecer a LGPD e também as resoluções e normativos aplicáveis aos cartórios. Essas regulamentações sobre proteção de dados podem ser feitas pela ANPD, CNJ e Corregedorias locais, que estabelecem medidas e procedimentos específicos para os cartórios sobre o assunto.

Os cartórios são repositórios de dados dos brasileiros, por esse motivo, precisam adotar medidas de proteção e segurança desses dados. Nesse sentido, a resolução nº 74/2018 do CNJ, dispõe sobre os padrões mínimos de tecnologia da informação para segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil.

Um aspecto interessante dessa resolução do CNJ é que ela estabelece pré-requisitos de padrões mínimos de tecnologia da informação e classifica as serventias por arrecadação.  

Outros critérios mais específicos sobre proteção de dados são regulamentados pelos Tribunais para serem adotadas nas serventias extrajudiciais, sob a supervisão da respectiva Corregedoria-Geral de Justiça, conforme o art. 1º, VIII, da Resolução nº 363/2021 do CNJ.

Além disso, a Autoridade Nacional de Proteção de Dados elaborou um Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público que também serve para os cartórios por força do art. 23, §4º, da LGPD, como já explicamos. 

A partir desse guia da ANPD, podemos destacar uma consideração sobre as bases legais para a realização de tratamento de dados pessoais, precisamente sobre o legítimo interesse, isso porque a aplicação do legítimo interesse é limitada no âmbito do setor público, sendo admitida só eventualmente.

Se você quer entender mais sobre o legítimo interesse, recomendamos a leitura do artigo LGPD: o que é o legítimo interesse?

A própria ANPD recomenda que o setor público evite utilizar o legítimo interesse, afirmando que “é recomendável que, em geral, órgãos e entidades públicas evitem recorrer ao legítimo interesse, preferindo outras bases legais, a exemplo de execução de políticas públicas e cumprimento de obrigação legal” (ANPD, 2022, p. 8).

Desse modo, podemos entender que os cartórios também devem evitar a utilização de legítimo interesse como base legal para a realização de tratamento de dados.

Por isso, os dados coletados devem ser apenas os necessários para as atividades do próprio cartório, sendo importante respeitar as finalidades de tratamento e atender à finalidade pública e à persecução do interesse público. 

Por fim, a guarda permanente de muitos dados é algo quase que inerente aos cartórios. É por isso que são considerados os repositórios de dados, mas essa guarda também possui uma regulamentação específica que define a temporalidade da guarda dos documentos e informações. Então, muito cuidado com descarte equivocado de dados, combinado?!

Como vai ocorrer a fiscalização nos cartórios?

A ANPD é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados no país. Isso significa que os agentes de tratamento de dados podem ser fiscalizados por esta autoridade para saber se estão respeitando a LGPD.

É exatamente por isso que existe o princípio da responsabilização e prestação de contas, para que haja a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A fiscalização da ANPD é feita a partir de um processo de fiscalização previsto no Regulamento CD/ANPD nº 1 de 28 de outubro de 2021, que compreende as atividades de monitoramento, orientação e atuação preventiva.

Para saber mais sobre como funciona o processo de fiscalização, basta ler nosso artigo sobre “A busca pela verdade: tudo sobre o Processo de Fiscalização da ANPD!” explicamos tudo sobre a fiscalização da Autoridade Nacional de Proteção de Dados.

Além da fiscalização feita pela ANPD, os cartórios também podem ser fiscalizados pelas Corregedorias locais por diversos motivos, inclusive, sobre a proteção de dados, para saber se o cartório está observando a legislação e demais normativos jurídicos aplicáveis. 

Lembre-se que existem portarias e resoluções do Conselho Nacional de Justiça e Tribunais aplicáveis aos cartórios e que tratam sobre a proteção de dados, então é importante conhecer todos os normativos cabíveis e que podem ser fiscalizados.

O que acontece se descumprir a LGPD?

Os cartórios também estão sujeitos às sanções previstas na Lei Geral de Proteção de Dados, elas aplicadas pela Autoridade Nacional de Proteção de Dados em razão do descumprimento da LGPD.

As sanções variam de uma simples advertência até multas de R$50.000.000,00 (cinquenta milhões de reais) por infração cometida. Eis o rol de punições:

• Advertência, com indicação de prazo para adoção de medidas corretivas;

• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica no Brasil no seu último exercício, excluídos os tributos,  limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração;

• Multa diária, observado o limite total de R$50.000.000,00 (cinquenta milhões de reais);

• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

• Eliminação dos dados pessoais a que se refere a infração até a sua regularização;

• Suspensão nacional do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;

São muitas, né? Calma que as sanções administrativas não são aplicadas do dia para noite, sendo necessário passar por um Processo Administrativo Sancionador, que nós já descomplicamos para você, em nosso artigo “Processo Administrativo Sancionador da ANPD: descubra como funciona“.

Além das sanções administrativas da LGPD, o cartório também poderá receber outras penalidades cabíveis no âmbito cível em ações judiciais promovidas pelos titulares de dados.

A Lei Geral de Proteção de Dados deve ser aplicada em conjunto com as resoluções e provimentos das Corregedorias, até porque a inobservância da legislação e normativos caracteriza infração disciplinar prevista no art. 31, I, da Lei nº8.935/94, além de ser um descumprimento da LGPD.

Por fim, como já falamos os Cartórios podem ser fiscalizados pela Corregedoria local, e a inobservância da legislação e normativos caracteriza infração disciplinar prevista no art. 31, I, da Lei nº 8.935/94 (Lei dos Cartórios).

Bônus: Infográfico com as 4 Dicas essenciais sobre a LGPD nos cartórios

Se você ficou com alguma dúvida sobre o assunto, a CHC Advocacia pode te ajudar nesse e em vários outros temas de seu interesse! Inscreva-se no nosso 🎬 Canal do Youtube e visite nosso perfil no  📸 Instagram, garantimos que você vai compreender o Direito com informação de qualidade e uma pitada de bom humor. 🎧 Ouça ainda os episódios do Podcast JusTaPop, a sua conexão com o #DireitoDescomplicado.

Quer mais? Convidamos você a fazer parte da nossa Comunidade no 📲 Telegram, lá você receberá na palma da sua mão nossos materiais, dicas práticas e ainda terá acesso aos conteúdos exclusivos para os inscritos no canal.