COMO APLICAR A LEI GERAL DE PROTEÇÃO DE DADOS NOS CARTÓRIOS:
- Guia para o passo a passo da LGPD nos cartórios;
- Consentimento x Emissão de certidões;
Por Filipe Gustavo Barbosa Maux - professor, notário e registrador.
Com a edição da Lei 13.709/2018, Lei Geral de Proteção de Dados - LGPD, passou a ter vigência no Brasil em 18 de setembro de 2020, além da grande revolução em termos de proteção de dados pessoais, criou um novo paradigma no direito brasileiro em termos de dados pessoas. As informações pessoais deixaram de ser tratadas juridicamente como direito de propriedade para ser consideradas emanação da dignidade da pessoa humana, como ponderado Gabriela Glitz (in, “Da privacidade de dados pessoas: o caminho para uma Lei geral de dados pessoas.”2021)
Nessa sistemática de mudança de valor jurídico para os dados pessoas, a LGPD traz inúmeros desafios. Dois deles são mais cristalinos. Sua interpretação, diante de inúmeros conceitos técnicos e sua implementação.
A primeira grande constatação é que a Lei tem aplicação expressa aos cartórios.
No art. 23 é dito que o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
E o parágrafo quarto do referido artigo dispõe que os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas, nos termos desta Lei.
Assim, não resta dúvida que a Lei se aplica aos serviços notariais e registrais.
Agora uma outra indagação. Seria necessário uma regulamentação para aplicação desse Lei aos cartório?
O Estado de São Paulo/SP, antes da vigência da LGPD, realizou estudos para a edição de normas e a implantação de procedimentos destinados à observação da LGPD nas atividades jurisdicionais e administrativas.
Assim, foi editado o Provimento CG nº 23, de 03 de setembro de 2020, que adotou os conceitos da Lei Geral de Proteção de Dados Pessoais que deverão ser adotadas pelos responsáveis pela prestação dos serviços extrajudiciais de notas e de registro.
O Provimento do Estado de São Paulo/SP, como a própria Lei de Proteção de dados, não cria obrigação nova, mas prevê requisitos e condições para o procedimento e prestação dos serviços.
Pensamos, com as vênias necessárias aos que pensam o contrário, que será necessário a edição de um provimento nacional emitido pelo CNJ para a regulamentação da LGPD aos cartórios de todo o Brasil.
Justificamos nosso pensamento na própria atividade prestada pelos cartórios. O serviço fim. Os cartórios são o nascedouro das informações sensíveis (registro de nascimento, óbito, casamento, escrituras, protestos etc). Assim, o próprio conteúdo sensível é iniciado nos cartórios. Então, o tratamento que a LGPD trouxe aos responsáveis pela guarda, conservação e tratamento dos dados sensíveis, com relação aos cartórios, precisa ter uma regulamentação própria. Pensamos, que muito mais exigentes.
Assim sendo, a LGPD exige duas disposições aos titulares das serventias, como inicialmente escritos nesse texto. A interpretação e a implementação.
No que tange a implementação, reproduzimos as conclusões de Hilda Glícia, João Rodrigo e Tarcísio Tixeira ao escrever sobre as conclusões após a leitura da LGPD:
“Quais são as bases legais que legitimam o tratamento de dados do cartório?
Como operacionalizar os direitos dos titulares dedados pessoais? Como revisar documentos para conformidade com a lei?
Comoredigir políticas de privacidade e de segurança?
Como e quando fazer o DataProtection Impact Assessment (DPIA)?
Como deve se comportar o Data ProtectionOfficer (encarregado de proteção de dados) do cartório.”
(“Motivações para a adequação das serventias extrajudiciais à LGPD: mudança cultural e conscientização” 2021)
Os autores acima citados, de forma muito elucidativa indicam que a implementação da LGPD nada mais é que a criação e manutenção de um programa de compliance nos cartórios.
Assim ponderam os autores citados: “Compliance nada mais é que cumprir seus deveres de maneira planejada e harmônica.”
O compliance serve para garantir por meio de um planejamento estratégico, mecanismos para o cumprimento de normas jurídicas e éticas, criando um valor na prestação do serviço.
Nas organizações publicas, o programa de compliance evita as responsabilizações civis, melhora a imagem das organizações, cria um valor juridica aos serviços prestado e entregue a população e melhora a produtividade.
A criação e implementação de um programa de compliance nos cartórios pode ser estruturada em duas vertentes. A primeira é a criação e implantação de programas de gestão de qualidade para os serviços notariais e registrais, utilizando os padrões da ISO e da ABNT, que são as referencias para essa gestão de qualidade na prestação dos serviços. A outra vertente é a compliance juridica.
01 - Primeira vertente: Programa de Gestão de Qualidade.
A necessidade de fomentar a qualidade na prestação do serviço repousa na exigência de entrar um serviço de qualidade para os usuários. O fato de não existir concorrência nos serviços registrais (registro de imóveis, registro de pessoas naturais, por exemplo), não retira dos titulares o dever de gerar a prestação de um serviço de excelência para a população.
Para a melhoria da gestão desses serviços existem os padrões da familia ISO 9000, que é uma certificação que atesta o padrão de qualidade da empresa. A ISO 9000 é composta por um grupo de normas técnicas que estabelecem esse modelo de gestão da qualidade
Uma maneira de pensar a necessidade de buscar padrões de qualidade refletem nesse imagem:
A criação e a busca por melhorar os padrões de qualidade iriam refletir em lucros e na melhor qualidade da prestação do serviço público.
A busca pela melhoria na gestão de qualidade é uma constância da ANOREG/BR ao criar a premiação da qualidade total da ANOREG (PQTA).
Nesse dinâmica da busca pela gestão de qualidade, é necessário também, a implementação de uma Sistema de Gestão de Privacidade de Informação, com base na ISO/IEC 27701 - Técnicas de segurança.
A ISO/IEC 27701 surgiu para a proteção e privacidade de dados pessoais. Nela se encontra as especificações necessárias para a noção dos requisitos e diretrizes na implantação de um Sistema de Gestão de Privacidade de Informação.
Nesse Sistema de Gestão de Privacidade existe uma orientação decorrente de diversas ISO que dão apoio a implantação, como bem pontuado por Mirian Aparecidade e Anielle Eisenwiener (in. “A influência da segurança da informaçõa no Provimento 74 e na LGPD), como abaixo pontuadas:
1. ISO/IEC 29100: essa norma trata da Estrutura de Privacidade, Define uma estrutura conceitual de privacidade que permite lidar com a proteção de dados pessoais (DP) dentro de sistemas de tecnologia da informação e da comunicação. Envolve especificação, aquisição, arquitetura, projeto, desenvolvimento, teste, manutenção, administração e operação de sistemas ou serviços de tecnologia da informação, onde há necessidade de controle de privacidade;
2. ISO/IEC 29134: essa norma trata da Avaliação do impacto à privacidade, fornecendo diretrizes para processos de avaliação de impacto deprivacidade, estrutura e conteúdo de relatório;
3. ISO/IEC 29151: essa norma estabelece objetivos de controle, diretrizespara implementar controles, para atender aos requisitos identificadospor uma avaliação de risco e impacto relacionada à proteção de dadospessoais (DP);
4. ISO/IEC 27035-3: gerenciamento de incidentes de segurança da informação.
5. ISO/IEC 27005: fornece diretrizes para o processo de gestão de riscos, a fim de atender aos requisitos da ABNT
02 - Segunda vertente: compliance juridico.
O que os autores chamam de compliance jurídico é a conformidade da Lei, que iria muito além do princípio da legalidade.
A observação da Lei, já é norma imperativa na atividade notarial e registral. A exigência de uma formentação de compliance jurídica seria muito além do que a aplicação somente da Lei.
Seria a criação de políticas de treinamentos, monitoramento, elaboração de manuais e rotinas internas sobre as normas.
A guise de exemplo, é citado o Provimento 88 do CNJ. O provimento dispõe sobre a política, os procedimentos e os controles a serem adotados pelos notários e registradores visando à prevenção dos crimes de lavagem de dinheiro, previstosna Lei n. 9.613, de 3 de março de 1998, e do financiamentodo terrorismo, previsto na Lei n. 13.260, de 16 de março de 2016.
Pelo Provimento, os notários e registradores comunicarão à Unidade de Inteligência Financeira – UIF, por intermédio do Sistema de Controle de Atividades Financeiras – Siscoaf, quaisquer operações (ou propostas de operações) que, por seus elementos objetivos e subjetivos, possam ser consideradas suspeitas de lavagem de dinheiro ou financiamento do terrorismo.
São os notários e registradores os responsáveis pela implantação das políticas, procedimentos e controles internos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo no âmbito da serventia, podendo indicar, entre seus prepostos, oficiais de cumprimento.
São atribuições do oficial de cumprimento, do notário ou registrador, entre outras previstas em instruções complementares:
- informar à Unidade de Inteligência Financeira – UIF qualquer operação ou tentativa de operação que, pelos seus aspectos objetivos e subjetivos, possam estar relacionadas às operações de lavagem de dinheiro ou financiamento do terrorismo;
- prestar, gratuitamente, no prazo estabelecido, as informações e documentos requisitados pelos órgãos de segurança pública, órgãos do Ministério Público e órgãos do Poder Judiciário para o adequado exercício das suas funções institucionais, vedada a recusa na sua prestação sob a alegação de justificativa insuficiente ou inadequada;
- promover treinamentos para os colaboradores da serventia;
- elaborar manuais e rotinas internas sobre regras de condutas e sinais de alertas.
Assim, o CNJ criou uma exigência para que os responsáveis pelos serviços treinem os calaboradores e criem manuais e rotinas sobre as condutas suspeitas de lavagem de dinheiro.
Assim, os cartórios precisam criar e fomentar entre os colaborares o mapeamento dos serviços prestados, desde a entrega da documentação pelo cliente até a entrega efetiva do serviço prestado.
O Provimento 88/2019 do CNJ só não criou obrigatoriedade de cumprimento dessas rotinas para o registro civil. Todas as especialidades estão inseridas nesse exigência.
Consentimento x Emissão de certidões;
É lição comezinha de registro público que qualquer pessoa pode requerercertidão do registro sem informar ao oficial ou ao funcionário o motivo ou interesse do pedido, como determina expressamente o artigo 17 da Lei 6.015/73.
A própria legislação ainda determina que os oficiais e os encarregados das repartições em que se façam os registros são obrigados:a lavrar certidão do que lhes for requerido e fornecer às partes as informações solicitadas.
As certidões, com algumas exceções, serão lavradas independentemente de despacho judicial, devendo mencionar o livro de registro ou o documento arquivado no cartório.
As exceções são as certidões do registro civil, referente a certidão de nascimento de filhos legitimados por subsequente matrimônio (Art. 45); certidão de nascimento ou casamento com alteração de nome por determinação judicial em razão de fundada coação ou ameaça decorrente de colaboração com apuração de crime (57, § 7o) e finalmente, o certidão de registro de nascimento do adotado (95, parágrafo único). Todas as normas constantes na Lei 6.015/73.
No tabelionato de notas, como explica o Professor Vitor Kumpel e Giselle Viana, existe o sigilo na emissão de certidões sobre o testamento público. Isto porque o testamento não tem qualquer eficácia em vida do testador, não cria direitos ou obrigações, mas mera expectativas. Assim deve haver uma publicidade mitigada dos testamento. (in, “A fiscalização dos cartórios para fins da LGPD”)
O dever de prestação das informações é determinado, por lei, com consequência de sanções administrativas. No caso de recusa ou retardamento na expedição da certidão, o interessado poderá reclamar à autoridade competente, que aplicará, se for o caso, a pena disciplinar cabível.
Ocorre que, pela disciplina da leitura dos artigos 6o e 7o da LGPD, os dados sensiveis dos titulares teriam restrições em serem publicizados.
Assim dispõe a Lei :
Art.7o - O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas asdisposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
A própria LGPD aduz que seria dispensado o consentimento dos titulares de dados com relação aos dados registrados e arquivados no cartório visto que os os dados tornam-se manifestamente púbicos pelo titular, dispensado seu consentimento: “§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei. “
Como pondera Caleb Matheus Ribeiro de Miranda, a dispensa do consentimento não desobriga os cartórios a observar o principio da necessidade dos dados. (in, “A LGPD aplicada às serventias extrajudiciais brasileiras.”)
O própio Caleb Matheus nos elucida os estudo do princípio da necessidade com um exemplo. Imaginemos que um órgão administrativo solicite ao registrador de imóveis de uma cidade todas as informações registrais sobre os imóveis de sua circunscrição porque justifica que seria mais conveniente do que solicitar as informações ao cartório por meio de certidões. Seria uma clara afronta ao princípio da necessidade.
Imaginemos uma grande imobiliária ou construtora que solicita todos os registro de imóveis de uma determinado bairro para divulgar em seu sitio na internet o nome e dados dos titulares do imóveis naquela região, para que possiveis interessados em aquisições imobiliária possam contactar ou saber quem seriam os proprietários.
Assim sendo, a LGDP não alterou as normas da 6.015/73 com relação a emissão das certidões sem informar ao oficial ou ao funcionário o motivo ou interesse do pedido.
Uma forma de evitar qualquer dissabor seria inserção nas certidões a manifestações das partes que, em atendimento à lei de proteção de dados pessoais: A) submetem seus dados pessoais voluntariamente; B) estão cientes de que os dados serão fornecidos aos sistemas de alimentação obrigatória como DOI, CENSEC e similares, por imposição normativa; C) que estão cientes que, dado o caráter público dos atos notariais, poderá ser fornecida certidão desta escritura a terceiros, bem como de seu registro na matrícula, como exigência do art. 17 da Lei 6.015/73.
Concluímos portanto, que a aplicação da LGPD aos cartórios deve seguir recomendação e tratamento nacional por Provimento do CNJ, que a aplicação da Lei aos cartórios se evidencia através da criação e implantação de programas de gestão de qualidade para os serviços notariais e registrais, utilizando os padrões da ISO e da ABNT, e a compliance juridica.
Também apontamos que a LGPD não tem o condão de criar óbice para emissão de certidões nos moldes do art. 17 da Lei 6.015/73, devendo ser inseridos nos documentos e certidões que em cumprimento à lei de proteção de dados pessoais: os solicitantes dos serviços submetem seus dados pessoais voluntariamente aos arquivos do cartório, que estão cientes de que os dados serão fornecidos aos sistemas de alimentação obrigatória como DOI, CENSEC e similares, por imposição normativa, e, que estão cientes que, dado o caráter público dos atos notariais, poderá ser fornecida certidão desta escritura a terceiros, bem como de seu registro na matrícula, como exigência do art. 17 da Lei 6.015/73.