As serventias extrajudiciais de todo o país têm 180 dias para se adequarem à Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). O Provimento n.134/2022 da Corregedoria Nacional de Justiça define procedimentos técnicos e estabelece quais medidas devem ser adotadas pelos cartórios. A expectativa é que o provimento imprima mais transparência às atividades de tratamento.
O Provimento define um roteiro para guiar as serventias extrajudiciais no que se refere à gestão de dados pessoais, determinando critérios técnicos e procedimentos a serem observados dentro da Lei Geral de Proteção de Dados Pessoais. Com 16 capítulos, o Provimento 134, estabelece regras desde a governança de dados pessoais, passando por temas como revisão de contratos, transparência das atividades de tratamento, elaboração de relatório de impacto, e proteção tanto para os próprios cartórios quanto para os usuários.
O Provimento n.134/2022 é resultado de quase um ano e meio debates. A proposta do texto do normativo foi construída com a preocupação de ouvir vários segmentos da atividade notarial, de registro e do Poder Judiciário, que constitucionalmente tem a responsabilidade da fiscalização e regulação dos serviços extrajudiciais. A norma tem especial relevância quando se considera a quantidade e a qualidade dos dados pessoais guardados por cada um dos notários e registradores brasileiros, que vão do nascimento à morte das pessoas, questões de Estado, filiação, parentalidade, assim como as mais variadas e complexas questões patrimoniais, ou relacionadas com pessoas jurídicas de várias naturezas.
Integrante do Grupo de Trabalho e professor da Faculdade de Direito da Universidade de São Paulo, Juliano Maranhão ressalta que o Provimento trouxe organização, com direcionamento, para as serventias extrajudiciais. “Houve avanços notáveis como a questão do compartilhamento de dados com centrais e órgãos públicos e a criação por parte do CNJ de uma Comissão de Proteção de Dados, no âmbito da Corregedoria Nacional de Justiça responsável por propor diretrizes com critérios sobre a aplicação, interpretação e adequação das serventias à LGPD”, apontou.
Nos dois primeiros capítulos, a norma especifica uma série de ações imediatas que os cartórios precisam adotar, como mapear as atividades de tratamento, adoção de medidas de transparência aos usuários sobre o tratamento de dados pessoais, definição de Políticas de Segurança da Informação e Interna de Privacidade e Proteção de Dados, além da criação de procedimentos eficazes para atendimento aos direitos dos titulares. As medidas buscam consolidar a cultura de proteção de dados pessoais nos cartórios.
O Provimento n.134/2022 traz também o mapeamento das atividades de tratamento e atualização anual do inventário de informações. O mapeamento identifica o banco de dados da serventia, os dados pessoais objeto de tratamento e o seu ciclo de vida, incluindo todas as operações de tratamento a que estão sujeitos, como a coleta, armazenamento, compartilhamento, descarte, e quaisquer outras operações às quais os dados pessoais estejam sujeitos. Existe a previsão de que o inventário de dados seja arquivado nos cartórios e disponibilizados em caso de solicitação da Corregedoria Geral da Justiça, da Autoridade Nacional de Proteção de Dados Pessoais ou de outro órgão de controle.
O texto incluiu ainda o chamado “gap assessment” – avaliação das vulnerabilidades surgidos a partir do mapeamento. A análise de lacunas que está diretamente relacionada à proteção de dados. A comunicação dos incidentes de segurança é outro ponto importante previsto no Provimento 134/2022. O plano de resposta a incidentes de segurança envolvendo dados pessoais deverá ocorrer, por partes dos responsáveis pelas serventias extrajudiciais, à Autoridade Nacional de Proteção de Dados (ANPD), ao juiz corregedor permanente e à Corregedoria Geral da Justiça, no prazo máximo de 48 horas úteis, contados a partir do seu conhecimento.