Advogada Fernanda Cristina Soares Santos fala sobre a aplicação da LGPD no RCPN
Em entrevista à Associação dos Registradores de Pessoas Naturais do Rio Grande do Sul (Arpen/RS), a advogada Fernanda Cristina Soares Santos, que atua na área de Privacidade e Proteção de Dados Pessoais, fala sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) no Registro Civil das Pessoas Naturais.
“A LGPD, assim como outras normas de proteção de dados pessoais, tem dupla função: ela busca a garantia da privacidade e de outros direitos fundamentais e também fomenta o desenvolvimento econômico”, aponta a advogada.
Confira a íntegra da entrevista:
Arpen/RS – Qual o impacto da LGPD no registro civil?
Fernanda Cristina Soares Santos – Assim como em outros segmentos, o impacto da LGPD no registro civil é significativo. Mas chamo à atenção ao fato de, a despeito de ser um setor privado, os cartórios realizam um serviço público e a LGPD dedica um capítulo inteiro ao Poder Público, algo que não se repete em relação a outros segmentos da estrutura política/socioeconômica do país. Isso se deve ao fato de que o Estado deve ser o primeiro a prestar contas ao cidadão sobre o uso dos seus dados pessoais. De fato, historicamente, a proteção de dados surgiu muito mais da preocupação com o uso que o Estado faz dos dados pessoais do que da preocupação com o uso destes dados entre particulares. Assim, mesmo já sendo os serviços notariais e de registro consideravelmente regulamentados (já, portanto, conferindo aos dados pessoais uma proteção maior do que aquela habitualmente conferida em outros setores de menor regulamentação), isso não os exime da necessidade de adequação à LGPD.
Arpen/RS – Quais cuidados devem ser tomados pelos registradores para se adequar à nova lei de proteção dos dados pessoais?
Fernanda Cristina Soares Santos – O processo de adequação dos registradores, em termos gerais, é similar ao processo realizado em outros segmentos da economia, mas há peculiaridades importantes. O Conselho Nacional de Justiça (CNJ), publicou em agosto de 2022 o Provimento N° 134, que “estabelece medidas a serem adotadas pelas serventias judiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais”. Este documento discorre sobre o processo de adequação à LGPD e define algumas questões específicas para as serventias. Veja a importância e o impacto da LGPD nesse setor: o documento foi publicado pelo CNJ mesmo cabendo ao Poder Judiciário de cada estado a regulamentação em matéria de proteção de dados pessoais, já que os serviços notariais e registrais são organizados no âmbito das Justiças Estaduais. Em relação às peculiaridades que mencionei, destaco que o Provimento N° 134 prevê que as serventias classe I e II poderão adotar modelo simplificado de relatório de impacto conforme orientações da Comissão de Proteção de Dados – CPD/CN/CNJ para a simplificação do documento e que as serventias classe III devem adotar o modelo completo do relatório de impacto. O relatório de impacto é um documento que deve ser elaborado pelo controlador e que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Destaco também a orientação do Provimento N° 134 no tocante ao encarregado. O encarregado é um profissional chave em relação à proteção de dados pessoais, cujas atribuições dele vão além de ser a ponte entre controlador/operador, titulares e Autoridade Nacional de Proteção de Dados (ANPD), cabendo a este também orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
O mesmo documento prevê que os responsáveis pelas serventias extrajudiciais poderão terceirizar o exercício da função de encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica. Além disso prevê a possibilidade de contratação independente de um mesmo encarregado por serventias de qualquer classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados. Outra notável determinação do Provimento N° 134 envolve dados pessoais de crianças quando prevê que o pedido de lavratura de ata notarial, realizado por um dos pais, ou pelo responsável legal, envolvendo dados pessoais de sujeito menor de 12 anos de idade será considerado como consentimento específico e em destaque para o tratamento dos dados da criança.
É relevante a determinação do Provimento citado no sentido de determinar a base legal do consentimento para dados pessoais de crianças porque a própria LGPD não é clara quando faz menção à proteção de dados pessoais de crianças e adolescentes em seu artigo 14, permitindo três interpretações diferentes sobre o previsto, impossibilitando a certeza sobre as bases legais válidas para o tratamento de crianças e adolescentes (sobre isso, destaco que diante das três possibilidades de interpretação do artigo 14, a ANPD publicou um estudo técnico intitulado “Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes”, “com vistas a fomentar o debate público e subsidiar futura tomada de decisão sobre o tema pela ANPD”. Finalizado o prazo de consulta pública, a ANPD publicará documentação oficial sobre o tema.).
Arpen/RS – Qual a relevância da LGPD na atividade registral?
Fernanda Cristina Soares Santos – A LGPD, assim como outras normas de proteção de dados pessoais, tem dupla função: ela busca a garantia da privacidade e de outros direitos fundamentais e também fomenta o desenvolvimento econômico. Tão importante quanto estabelecer regras de conformidade que protejam os direitos fundamentais do cidadão é garantir que tais regras também sejam capazes de fomentar o desenvolvimento econômico.
A LGPD internaliza essa dupla função: nos primeiros artigos da lei observa-se que a disciplina da proteção de dados pessoais tem como objetivo proteger os direitos fundamentais e também do desenvolvimento econômico-tecnológico e da inovação. É dizer, a LGPD é muito mais do que um emaranhado de obrigações. Um bom processo de adequação à LGPD vai fazer com que haja uma revisão de processos internos que podem já estar obsoletos; a fase de mapeamento de dados pessoais é uma excelente forma de refletir sobre processos antigos. Outro aspecto muito positivo da LGPD é que a adequação à lei pode melhorar a reputação; uma boa reputação no mercado atrai a confiança do titular, que tende a optar pela prestação de serviços de um registrador adequado. É dizer, a adequação à LGPD nos cartórios pode influenciar na escolha de um ou outro por empresas que precisam desses serviços constantemente. Ou seja, os melhores “clientes” dos cartórios muito provavelmente evitarão realizar negócios com uma serventia que tenha se envolvido em infrações relacionadas a dados pessoais. Mas a boa reputação vai além da questão do titular; ela é importante também para a relação com parceiros, fornecedores e prestadores de serviço. Isso é fundamental porque a LGPD prevê responsabilidade solidária entre controlador e operador. Em outras palavras, há a possibilidade de o titular acionar qualquer uma das partes para obter a indenização devida em caso de incidentes com dados pessoais.
É por isso que deve-se realizar uma extensa e cuidadosa diligência ao contratar fornecedores e prestadores de serviço, já que uma empresa em desconformidade com a LGPD pode causar riscos àqueles que estão em conformidade. Incidentes de dados pessoais acarretam danos reputacionais extremamente significativos; um dano reputacional tende a se refletir em perda de receita, aumento de custo operacional e queda na confiança dos stakeholders (clientes, fornecedores e outras partes interessadas). O mercado, de modo geral, reage negativamente a um incidente de dados pessoais.
Arpen/RS – Como aplicar a LGPD nos cartórios de registro civil?
Fernanda Cristina Soares Santos – Em linhas gerais, há três fases em um projeto de adequação à LGPD: a fase de mapeamento, a fase de diagnóstico e a fase de implementação. Na fase de mapeamento, como o próprio nome indica, é realizado o mapeamento do fluxo do dado pessoal no cartório. Examina-se todo o caminho do dado pessoal, desde o momento de coleta (incluindo a forma como o dado pessoal foi coletado, o propósito da coleta e quais dados foram coletados), até a forma como os dados são utilizados dentro do cartório (transferências internas e externas) e como são armazenados (incluindo a agenda de armazenamento).
Ao final da fase de mapeamento, com a realização das entrevistas e com a análise dos documentos, será possível elaborar um Relatório de Atividade de Processamento (ROPA – sigla em inglês para Record of Processing Activities). O ROPA descreve cada tratamento de dados pessoais realizado no cartório, incluindo todas as informações coletadas na fase de mapeamento. Uma execução precisa da fase de mapeamento, incluindo a elaboração exata dos ROPAs, permitirá o avanço para a fase de diagnóstico e definição das ações prioritárias para a adequação à LGPD. Com base nas apurações feitas na fase de mapeamento, é possível identificar o uso imprevisto ou não intencional de dados pessoais e os principais riscos das operações a fim de verificar as áreas de maior exposição.
Uma vez identificada a categoria de dados pessoais e a finalidade de sua coleta, é possível visualizar eventuais desconformidades com o princípio da necessidade, por exemplo, que limita o tratamento de dados pessoais ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Outro exemplo é que uma vez identificada a forma de armazenamento dos dados pessoais, é possível visualizar eventuais desconformidades com o princípio da segurança. Uma vez elaborado o plano de ação a partir das informações constantes da fase de diagnóstico, é iniciada a fase de implementação.
O conteúdo dessa fase, evidentemente, dependerá das necessidades identificadas nas fases anteriores e das características próprias de cada cartório. Em geral, essa fase normalmente abrange a revisão/elaboração de políticas de privacidade (internas e externas); elaboração de cláusulas-padrão a serem inseridas em contratos com fornecedores ou terceirizados, com relação às obrigações previstas na LGPD; revisão de contratos, acordos e documentos relacionados com a transferência de dados e elaboração de cláusulas-padrão ou regras corporativas vinculantes (BCRs), conforme seja o caso; elaboração de plano de respostas aos titulares que solicitarem informações dos dados coletados; elaboração de plano de respostas a incidentes de vazamento de dados e remediação, entre outros. Essa fase também abrange a realização de treinamentos dos colaboradores do cartório relacionados ao tratamento de dados. É fundamental se certificar que as pessoas que irão usar as informações sejam conscientizadas sobre a implementação e implicação de práticas de proteção de dados. Aqueles que manipulam dados pessoais no exercício das atividades regulares devem entender que tais dados precisam ser protegidos a todo custo.
Caso isso não seja compreendido, a probabilidade de falha humana que resulte em um incidente de tal natureza aumenta exponencialmente. Uma vez implementadas todas as ações necessárias para a adaptação do cartório à LGPD, é necessário manter um constante monitoramento de tais ações, o qual garantirá que todo o tratamento de dados pessoais realizado continue observando a boa-fé e os princípios determinados pela Lei, permitindo que os protocolos de resposta a incidentes com dados pessoais, quando necessário, sejam corretamente acionados.
Arpen/RS – Sobre a coleta e tratamento dos dados pessoais dos cidadãos, como
avalia o papel do registro civil nesse processo?
Fernanda Cristina Soares Santos – O registro civil será, na maioria das operações de tratamento, o controlador de dados pessoais. Ao controlador competem as decisões referentes ao tratamento de dados pessoais, o que faz com que o controlador tenha uma carga de responsabilidade muito maior em relação aos dados pessoais. Dentre as obrigações específicas do controlador, destaco a de elaborar relatório de impacto à proteção de dados pessoais; a de comprovar que o consentimento obtido do titular atende às exigências legais; e a de comunicar à Autoridade Nacional de Proteção de Dados a ocorrência de incidentes de segurança. Adicionalmente, em regra, os direitos dos titulares são exercidos em face do controlador; a este compete, entre outros, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, e receber requerimento de oposição a tratamento.
Fonte: Assessoria de Comunicação – Arpen/RS