Notícias
CGJ/SP publica Provimento nº 23/2020 sobre o tratamento e proteção de dados pessoais pelos responsáveis dos cartórios
Dispõe sobre o tratamento e proteção de dados pessoais pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro de que trata o art. 236 da Constituição da República e acrescenta os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça.
(OSD 16)
O DESEMBARGADOR RICARDO MAIR ANAFE, CORREGEDOR GERAL DA JUSTIÇA DO ESTADO DE SÃO PAULO, NO USO DE SUAS ATRIBUIÇÕES LEGAIS,
CONSIDERANDO a proteção dos dados pessoais promovida pela Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);
CONSIDERANDO que o novo regime de tratamento de dados pessoais se aplica aos serviços públicos extrajudiciais de notas e de registros prestados na forma do art. 236 de Constituição da República;
CONSIDERANDO que os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, no desempenho de suas atividades, são controladores de dados pessoais;
CONSIDERANDO o compartilhamento de dados pessoais com as Centrais de Serviços Eletrônicos Compartilhados, pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, decorrente de previsões legais e normativas;
CONSIDERANDO o decidido no Processo CG nº 2019/00109323;
RESOLVE:
Art. 1º. Acrescentar os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça, com a seguinte redação:
“SEÇÃO VIII
DO TRATAMENTO E PROTEÇÃO DOS DADOS PESSOAIS
127. O regime estabelecido pela Lei n. 13.709, de 14 de agosto de 2018, será observado em todas as operações de tratamento realizadas pelas delegações dos serviços extrajudiciais de notas e de registro a que se refere o art. 236 da Constituição Federal, independentemente do meio ou do país onde os dados sejam armazenados e tratados, ressalvado o disposto no art. 4º daquele estatuto.
128. No tratamento dos dados pessoais, os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro deverão observar os objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei n. 13.709, de 14 de agosto de 2018.
129. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares, interventores ou interinos, são controladores e responsáveis pelas decisões referentes ao tratamento dos dados pessoais.
130. O tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios será promovido de forma a atender à finalidade da prestação do serviço, na persecução do interesse público, e com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas dos serviços público delegados.
130.1 Consideram-se inerentes ao exercício dos ofícios os atos praticados nos livros mantidos por força de previsão nas legislações específicas, incluídos os atos de inscrição, transcrição, registro, averbação, anotação, escrituração de livros de notas, reconhecimento de firmas, autenticação de documentos; as comunicações para unidades distintas, visando as anotações nos livros e atos nelas mantidos; os atos praticados para a escrituração de livros previstos em normas administrativas; as informações e certidões; os atos de comunicação e informação para órgãos públicos e para centrais de serviços eletrônicos compartilhados que decorrerem de previsão legal ou normativa.
131. O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos ofícios notariais e registrais, no cumprimento de obrigação legal ou normativa, independe de autorização específica da pessoa natural que deles for titular.
131.1 O tratamento de dados pessoais decorrente do exercício do gerenciamento administrativo e financeiro promovido pelos responsáveis pelas delegações será realizado em conformidade com os objetivos, fundamentos e princípios decorrentes do exercício da delegação mediante outorga a particulares.
132. Para o tratamento dos dados pessoais os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, sob sua exclusiva responsabilidade, poderão nomear operadores integrantes e operadores não integrantes do seu quadro de prepostos, desde que na qualidade de prestadores terceirizados de serviços técnicos.
132.1 Os prepostos e os prestadores terceirizados de serviços técnicos deverão ser orientados sobre os deveres, requisitos e responsabilidades decorrentes da Lei n. 13.709, de 14 de agosto de 2018, e manifestar a sua ciência, por escrito, mediante cláusula contratual ou termo autônomo a ser arquivado em classificador próprio.
132.2 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro orientarão todos os seus operadores sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiverem acesso, bem como sobre as respectivas responsabilidades, e arquivarão, em classificador próprio, as orientações transmitidas por escrito e a comprovação da ciência pelos destinatários.
132.3 Compete aos responsáveis pelas delegações dos serviços extrajudiciais de nota e de registro verificar o cumprimento, pelos operadores prepostos ou terceirizados, do tratamento de dados pessoais conforme as instruções que fornecer e as demais normas sobre a matéria.
132.4 A orientação aos operadores, e qualquer outra pessoa que intervenha em uma das fases de coleta, tratamento e compartilhamento abrangerá, ao menos:
I – as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
II – a informação de que a responsabilidade dos operadores prepostos, ou terceirizados, e de qualquer outra pessoa que intervenha em uma das fases abrangida pelo fluxo dos dados pessoais, subsiste mesmo após o término do tratamento.
132.5 Também serão arquivados, para efeito de formulação de relatórios de impacto, os comprovantes da participação em cursos, conferências, seminários ou qualquer modo de treinamento proporcionado pelo controlador aos operadores e encarregado, com indicação do conteúdo das orientações transmitidas por esse modo.
133. Cada unidade dos serviços extrajudiciais de notas e de registro deverá manter um encarregado que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
133.1 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro poderão nomear encarregado integrante do seu quadro de prepostos, ou prestador terceirizado de serviços técnicos.
133.2 Poderão ser nomeados como encarregados prestadores de serviços técnicos com remuneração integralmente paga, ou subsidiada, pelas entidades representativas de classe.
133.3 A nomeação do encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o encarregado.
133.4 A nomeação de encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais.
133.5 A atividade de orientação dos prepostos e prestadores de serviços terceirizados sobre as práticas a serem adotadas em relação à proteção de dados pessoais, desempenhada pelo encarregado, não afasta igual dever atribuído aos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro.
133.6 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro manterão em suas unidades:
I – sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro;
II – política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo claro e acessível, os tratamentos realizados e a sua finalidade;
III – canal de atendimento adequado para informações, reclamações e sugestões ligadas ao tratamento de dados pessoais, com fornecimento de formulários para essa finalidade.
134. A política de privacidade e o canal de atendimento aos usuários dos serviços extrajudiciais deverão ser divulgados por meio de cartazes afixados nas unidades e avisos nos sítios eletrônicos mantidos pelas delegações de notas e de registro, de forma clara e que permita a fácil visualização e o acesso intuitivo.
134.1 A critério dos responsáveis pelas delegações, a política de privacidade e a identificação do canal de atendimento também poderão ser divulgados nos recibos entregues para as partes solicitantes dos atos notariais e de registro.
135. O controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, conterá:
I – a identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa;
II – os registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:
1 – finalidade do tratamento;
2 – base legal ou normativa;
3 – descrição dos titulares;
4 – categoria dos dados que poderão ser pessoais, pessoais sensíveis ou anonimizados, com alerta específica para os dados sensíveis;
5 – categorias dos destinatários;
6 – prazo de conservação;
7- identificação dos sistemas de manutenção de bancos de dados e do seu conteúdo;
8 – medidas de segurança adotadas;
9 – obtenção e arquivamento das autorizações emitidas pelos titulares para o tratamento dos dados pessoais, nas hipóteses em que forem exigíveis;
10 – política de segurança da informação;
11 – planos de respostas a incidentes de segurança com dados pessoais.
136. Os registros serão elaborados de forma individualizada para cada ato inerente ao exercício do ofício, ou para cada ato, ou contrato, decorrente do exercício do gerenciamento administrativo e financeiro da unidade que envolva a coleta, tratamento, armazenamento e compartilhamento de dados pessoais.
137. Os sistemas de controle de fluxo abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais deverão proteger contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e permitir, quando necessário, a elaboração dos relatórios de impacto previstos no inciso XVII do art. 5º e nos arts. 32 e 38 da Lei n. 13.709, de 14 de agosto de 2018.
138. As entidades representativas de classe poderão fornecer formulários e programas de informática para o registro do controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, adaptados para cada especialidade dos serviços extrajudiciais de notas e de registro.
138.1 Os sistemas de controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, serão mantidos de forma exclusiva em cada uma das unidades dos serviços extrajudiciais de notas e de registro, sendo vedado o compartilhamento dos dados pessoais sem autorização específica, legal ou normativa.
138.2 Os sistemas utilizados para o tratamento e armazenamento de dados pessoais deverão atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei n. 13.709, de 14 de agosto de 2018, e demais normas regulamentares.
139. O plano de resposta a incidentes de segurança com dados pessoais deverá prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça, no prazo máximo de 24 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.
139.1 Os incidentes de segurança com dados pessoais serão imediatamente comunicados pelos operadores ao controlador.
140. A anonimização de dados pessoais para a transferência de informações para as Centrais Eletrônicas de Serviços Compartilhados, ou outro destinatário, será efetuada em conformidade com os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei n. 13.709, de 14 de agosto de 2018.
141. Os titulares terão livre acesso aos dados pessoais, mediante consulta facilitada e gratuita que poderá abranger a exatidão, clareza, relevância, atualização, a forma e duração do tratamento e a integralidade dos dados pessoais.
142. O livre acesso é restrito ao titular dos dados pessoais e poderá ser promovido mediante informação verbal ou escrita, conforme for solicitado.
142.1 Na informação, que poderá ser prestada por meio eletrônico, seguro e idôneo para esse fim, ou por documento impresso, deverá constar a advertência de que foi entregue ao titular dos dados pessoais, na forma da Lei n. 13.709, de 14 de agosto de 2018, e que não produz os efeitos de certidão e, portanto, não é dotada de fé pública para prevalência de direito perante terceiros.
143. As certidões e informações sobre o conteúdo dos atos notariais e de registro, para efeito de publicidade e de vigência, serão fornecidas mediante remuneração por emolumentos, ressalvadas as hipóteses de gratuidade previstas em lei específica.
144. Para a expedição de certidão ou informação restrita ao que constar nos indicadores e índices pessoais poderá ser exigido o fornecimento, por escrito, da identificação do solicitante e da finalidade da solicitação.
144.1 Igual cautela poderá ser tomada quando forem solicitadas certidões ou informações em bloco, ou agrupadas, ou segundo critérios não usuais de pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de dados pessoais.
144.2 Serão negadas, por meio de nota fundamentada, as solicitações de certidões e informações formuladas em bloco, relativas a registros e atos notariais relativos ao mesmo titular de dados pessoais ou a titulares distintos, quando as circunstâncias da solicitação indicarem a finalidade de tratamento de dados pessoais, pelo solicitante ou outrem, de forma contrária aos objetivos, fundamentos e princípios da Lei n. 13.709, de 14 de agosto de 2018.
144.3 Os itens 144 a 144.2 deste Provimento incidem na expedição de certidões e no fornecimento de informações em que a anonimização dos dados pessoais for reversível, observados os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei n. 13.709, de 14 de agosto de 2018.
144.4 As certidões, informações e interoperabilidade de dados pessoais com o Poder Público, nas hipóteses previstas na Lei n. 13.709, de 14 de agosto de 2018, e na legislação e normas específicas, não se sujeitam ao disposto nos itens 144 a 144.3 deste Provimento.
145. Será exigida a identificação do solicitante para as informações, por via eletrônica, que abranjam dados pessoais, salvo se a solicitação for realizada por responsável pela unidade, ou seu preposto, na prestação do serviço público delegado.
146. A retificação de dado pessoal constante em registro e em ato notarial deverá observar o procedimento, extrajudicial ou judicial, previsto na legislação ou em norma específica.
147. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro não se equiparam a fornecedores de serviços ou produtos para efeito de portabilidade de dados pessoais, mediante solicitação por seus titulares, prevista no inciso V do art. 18 da Lei n. 13.709, de 14 de agosto de 2018.
148. A inutilização e eliminação de documentos em conformidade com a Tabela de Temporalidade de Documentos prevista no Provimento nº 50/2015, da Corregedoria Geral da Justiça, será promovida de forma a impedir a identificação dos dados pessoais neles contidos.
148.1 A inutilização e eliminação de documentos não afasta os deveres previstos na Lei n. 13.709, de 14 de agosto de 2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo de conservação adotado na unidade dos serviços extrajudiciais de notas e de registro.
149. É vedado aos responsáveis pelas delegações de notas e de registro, aos seus prepostos e prestadores de serviço terceirizados, ou qualquer outra pessoa que deles tenha conhecimento em razão do serviço, transferir ou compartilhar com entidades privadas dados a que tenham acesso, salvo mediante autorização legal ou normativa.
149.1 As transferências, ou compartilhamentos, de dados pessoais para as Centrais de Serviços Eletrônicos Compartilhados, incluídos os relativos aos sistemas de registro eletrônico sob a sua responsabilidade, serão promovidas conforme os limites fixados na legislação e normas específicas.
150. Para o recebimento de informações que contenham dados pessoais, previstas nas Normas de Serviço da Corregedoria Geral da Justiça, as Centrais de Serviços Eletrônicos Compartilhados deverão declarar que cumprem, de forma integral, os requisitos, objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei n. 13.709, de 14 de agosto de 2018.
150.1 A declaração poderá ser encaminhada aos responsáveis pelas delegações de notas e de registro por meio escrito, eletrônico, ou outro que permita a confirmação do envio.
150.2 Iguais declarações deverão ser encaminhadas pelas Centrais de Serviços Eletrônicos Compartilhados para a Corregedoria Geral da Justiça.
151. As Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 horas contados do seu conhecimento, aos responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria Geral da Justiça, com esclarecimento sobre os planos de resposta.
151.1 O plano de resposta conterá, no mínimo, a indicação da natureza do incidente, das suas causas, das providências adotadas para a mitigação de novos riscos, dos impactos causados e das medidas adotadas para a redução de possíveis danos aos titulares dos dados pessoais”.
Art. 2º – Este Provimento entrará em vigor em conjunto com a Lei n. 13.709, de 14 de agosto de 2018, ficando revogadas as disposições em contrário.
São Paulo, 3 de setembro de 2020.
RICARDO MAIR ANAFE
Corregedor Geral da Justiça