1. LGPD, acesso a informação e registros públicos;
1.1. Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
1.1.1. I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
1.1.2. III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e (Redação dada pela Lei nº 13.853, de 2019)
1.1.3. § 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.
1.1.4. § 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.
1.2. Publicidade registral e a LGPD
1.2.1. Publicidade Registral
1.2.1.1. O princípio da publicidade é um dos norteadores do Direito Registral e Notarial, ele é um dos responsáveis por gerar a segurança jurídica e eficácia erga omnes que aqueles que buscam a salva guarda do registral buscam;
1.2.1.2. Lei 8.935/94, Art. 1º Serviços notariais e de registro são os de organização técnica e administrativa destinados a garantir a publicidade, autenticidade, segurança e eficácia dos atos jurídicos.
1.2.1.3. Lei 6.015/73, Art. 16. Os oficiais e os encarregados das repartições em que se façam os registros são obrigados:
1.2.1.3.1. 1º a lavrar certidão do que lhes for requerido;
1.2.1.3.2. 2º a fornecer às partes as informações solicitadas;
1.2.1.4. Lei 6015/73, Art. 194. O título de natureza particular apresentado em uma só via será arquivado em cartório, fornecendo o oficial, a pedido, certidão do mesmo.
1.2.2. Acesso a dados e informações de registro/certidões;
1.2.2.1. As informações prestadas enquanto direito de acesso aos dados alvo de tratamento não se confundem com informações de registro/certidões.
1.2.2.1.1. Certidões devem ser remuneradas enquanto as informações alvo de tratamento da LGPD são gratuitas.
1.2.2.1.2. A informação do dado pessoal tratada é restrita ao titular do dado, enquanto a certidão é pública.
2. Relatório de Impacto
2.1. Art. 5º, XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
2.2. Art. 38 da LGPD - A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
2.3. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
2.4. Identificar partes interessadas consultadas Partes interessadas relevantes, internas e externas, consultadas a fim de obter opiniões legais, técnicas ou administrativas sobre os dados pessoais que são objeto do tratamento. Nessa etapa, é importante identificar:
2.4.1. Quais partes foram consultadas, como, por exemplo: operador (LGPD, art. 5º, VII), encarregado (LGPD, art. 5º, VIII), gestores, especialistas em segurança da informação, consultores jurídicos, etc.
2.4.2. O que cada parte consultada indicou como importante de ser observado para o tratamento dos dados pessoais em relação aos possíveis riscos referentes às atividades de tratamento em análise. Também deve-se observar os riscos de não-conformidade ante a LGPD e os instrumentos internos de controle (políticas, processos e procedimentos voltados à proteção de dados e privacidade).
3. Partes interessadas
3.1. Titular de Dados
3.1.1. Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
3.1.1.1. Usuários externos;
3.1.1.2. Usuários internos;
3.1.1.3. Prestadores de serviço (se pessoa física)
3.1.2. A LGPD e os Direitos Fundamentais do Titular de Dados
3.1.2.1. Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
3.1.2.1.1. I - finalidade específica do tratamento;
3.1.2.1.2. II - forma e duração do tratamento, observados os segredos comercial e industrial;
3.1.2.1.3. III - identificação do controlador;
3.1.2.1.4. IV - informações de contato do controlador;
3.1.2.1.5. V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
3.1.2.1.6. VI - responsabilidades dos agentes que realizarão o tratamento; e
3.1.2.1.7. VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
3.1.2.1.8. § 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
3.1.2.1.9. § 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
3.1.2.1.10. § 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.
3.2. Controlador
3.2.1. Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
3.2.1.1. Naurican Ludovico Lacerda, delegatário do 1º PRTD de Goiânia.
3.2.1.1.1. Os colaboradores atuam com subordinação (em representação do agente)
3.2.1.2. Responsabilidades
3.2.1.2.1. Decisões gerais quanto ao tratamento de dados;
3.2.1.2.2. Relatório de Impacto;
3.3. Operador
3.3.1. Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; Atua de acordo com os interesses e finalidades definidos pelo controlador; - Obs da ANPD: O operador deve ser uma entidade distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.
3.3.1.1. Prestadores de Serviços (agente de tratamento autônomo), em regra os vinculados a Tecnologia da Informação e Recursos Humanos;
3.3.1.1.1. Manifestar a sua ciência, por escrito, mediante cláusula contratual ou termo autônomo de que receberam orientações acerca das informações e suas obrigações;
3.3.1.1.2. Engegraph Sistemas
3.3.1.1.3. 3DB
3.3.1.1.4. Contabilidade: PETRACON
3.3.1.1.5. Segurança do trabalho/laudos médicos: PROTEÇÃO, SEGURANÇA DO TRABALHO;
3.3.1.1.6. SULAMÉRICA
3.3.1.1.7. TXAI
3.3.1.1.8. CIEE
3.3.1.1.9. CORREIOS
3.3.1.1.10. MEGATELCOM
3.3.1.1.11. TECNOSEG
3.4. Encarregado
3.4.1. Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
3.4.1.1. Adriano Robson Vilela Leite
3.4.1.1.1. [email protected]
3.4.1.2. Responsabilidades:
3.4.1.2.1. Orientação e conscientização sobre o tratamento e as responsabilidades envolvidas;
3.4.1.2.2. Monitoramento a conformidade do tratamento;
3.4.1.2.3. Registro da orientação e do monitoramento;
4. Tratamento dos Dados
4.1. Definições de tratamento, coleta, anonimização e pseudonimização)
4.1.1. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
4.1.1.1. I - mediante o fornecimento de consentimento pelo titular;
4.1.1.2. II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
4.1.1.3. III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
4.1.1.4. IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
4.1.1.5. V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
4.1.1.6. VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
4.1.1.7. VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
4.1.1.8. VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
4.1.1.9. IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
4.1.1.10. X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
4.1.2. Art. 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
4.1.3. Art. 5º, XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
4.1.4. Art. 13, § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
4.2. Princípios das atividades de Tratamento de Dados (Art. 6º)
4.2.1. I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
4.2.2. II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
4.2.3. III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
4.2.4. IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
4.2.5. V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
4.2.6. VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
4.2.7. VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
4.2.8. VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
4.2.9. IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
4.2.10. X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
4.3. Dados tratados
4.3.1. Dados pessoais (Administrativos - Gerenciamento da Serventia)
4.3.1.1. Coletados durante a admissão do colaborador e atualizados conforme necessidade / modificações.
4.3.1.1.1. Uso de imagens dos colaboradores (consentimento do titular);
4.3.1.1.2. Dados vinculados ao Setor de Recursos Humanos: E-social, Trabalhista, Saúde ocupacional (cumprimento do dever legal);
4.3.2. Sites (consentimento):
4.3.2.1. Política de privacidade;
4.3.2.2. Consentimento para utilização de cookies e coleta de dados;
4.3.3. Dados vinculados a registros, averbações e certidões;
4.3.3.1. Coletados no próprio documento alvo do registro/averbação ou requerimento apresentado pelo requerente. (Regra: Cumprimento de obrigação legal e no caso do Protesto aplica-se a proteção de crédito);
4.3.3.1.1. Registros;
4.3.3.1.2. Averbações;
4.3.3.1.3. Certidões;
4.3.3.1.4. Provimento 88 CNJ - Prevenção a lavagem de Dinheiro e combate ao financiamento do terrorismo (COAF);
4.3.3.1.5. DOI - Declaração de Operações Imobiliárias (Receita Federal) - IN, RFB Nº 1112
4.3.3.1.6. Dados de registro para Receita Federal - SINTER.
4.4. Cuidados com os Dados tratados:
4.4.1. Procedimento para descarte/destruição de registros conforme Prov. 50/2015 do CNJ.
4.4.2. Políticas de Segurança da Informação conforme Prov. 74/2018 do CNJ.
4.4.3. Códigos de conduta, código de ética, manual de cumprimento da LGPD e outros.
4.4.3.1. M-ADM002-MANUAL DE CUMPRIMENTO LGPD;
4.4.3.2. Política de Privacidade;
4.4.3.3. RQ003-NI-NORMATIVA INTERNA
4.4.3.4. CAS 002 - CÓDIGO DE ÉTICA
5. Implementações/Necessidades
5.1. Para todos os procedimentos de cadastro e análise de documentos que contenham dados pessoais, fazer remissão ao DE106-Lei 13709 LGPD, uma vez que o responsável se coloca como preposto do delegatário, tratando os dados pessoais conforme as orientações deste.
5.1.1. Reforçar junto a coordenadores e analistas os cuidados com exigências para registro. Atentar-se aos princípios da legalidade do Direito Registral e Notarial e a necessidade e finalidade da LGPD.
5.2. Acrescentar o DE106-Lei 13709 LGPD ao item 7 do POP-TI012 e POP-TI006 uma vez que: a definição de níveis de permissão e acessos são fundamentais ao cumprimento da LGPD e que a manutenção de padrões mínimos de segurança da informação também são parte integrante do fiel cumprimento da legislação.
5.3. Para alguns doutrinadores e especialistas, imagens de vídeo e áudios, podem ser considerados dados pessoais, em razão disso, seu armazenamento é considerado como tratamento, logo deve ser observado a luz da LGPD.
5.3.1. Sugestões:
5.3.1.1. Colher consentimento de colaboradores;
5.3.1.2. Remissão ao Procedimento de monitoramento a LGPD reforçando que seu uso é exclusivo para fins de garantia de segurança dos usuários internos e externos e também dos dados tratados internamente.
5.4. Acrescentar ao POP-ADM011 informações sobre a necessidade de repassar e registrar as informações da LGPD ao novo colaborador.
5.5. Acrescentar ao Processo de Recrutamento e seleção - POP-ADM007, a necessidade de se colher autorização do candidato (formulário/autorização) para armazenar e tratar seus dados com o único e exclusivo fim de seleção.
5.6. Adequar as Políticas do TI (Drive_L\REVISÕES SGQ\TI\POLITICAS TI) aos padrões documentais do Cartório e transforma-lo em documento controlado de acesso a todos os colaboradores. Neles contém informações importantes a segurança da informação com impactos diretos ao cumpriemento da LGPD.
5.7. Criar mapa de permissões de acesso a drives e sistema. Melhorar políticas de restrição aos drives, limitando o acesso apenas ao necessário para cada usuário/colaborador.
5.7.1. Para acesso aos dados definir com controlador se tudo é liberado para todos e se não escalonamento de restrições.
5.7.1.1. Recomendação do Prov. 23 de SP.: Sistema escalas de permissões seccionados por função, associados a perfis individuais, cujo acesso deve ocorrer dupla autenticação: por usuário e senha e por certificação digital ou biometria (art. 4º)
5.8. Sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro (Inventário de Dados Pessoais (IDP) ou inventário de dados;
5.8.1. Mapa de dados deve conter
5.8.1.1. – Setor/função responsável pelo tratamento.
5.8.1.2. – Categoria dos dados pessoais: quem é o titular da informação? – Colaborador, Cliente, Parceiro, Fornecedor ou Terceiro?
5.8.1.3. – Quais são os dados coletados?
5.8.1.4. – Onde os dados estão armazenados?
5.8.1.5. – Como os dados foram coletados?
5.8.1.6. – Quais as finalidades dessa informação para a Serventia?
5.8.1.7. – Quem tem acesso aos dados?
5.8.1.8. – Qual a base legal para cada finalidade de tratamento?
5.8.1.9. – São dados considerados sensíveis pela LGPD?
5.8.1.10. – Qual a base legal para o tratamento dos dados sensíveis?
5.8.1.11. – Há compartilhamento dessas informações? Com quem e porque?
5.8.1.12. – Qual o período de retenção desses dados?
5.8.1.13. – Qual o método de descarte do dado?
5.8.1.14. - Qual mecanismo de proteção deste dado?
5.9. Revisar M-ADM002 - definição de operador sofreu alterações em sua interpretação.
5.9.1. Definir política de descartes, se o documento se tratar de registro ou certidão, este deverá ser feito de maneira a impedir que a identificação de dados pessoais seja realizada.
5.10. Revisar senhas de acesso dos colaboradores. Criar padrão mínimo de segurança, evitando senhas simples.
6. Definições Importantes
6.1. Dados pessoais:
6.1.1. O que são dados pessoais? A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
6.2. Dados sensíveis:
6.2.1. O que são dados pessoais sensíveis? Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
6.3. Dados protegidos:
6.3.1. Quais dados são protegidos pela LGPD? A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.
6.4. Tratamento de dados:
6.4.1. O que é tratamento de dados pessoais, de acordo com a LGPD? Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
6.5. ANPD:
6.5.1. O que é a Autoridade Nacional de Proteção de Dados Pessoais - ANPD? A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
7. Sanções Aplicáveis
7.1. Os agentes de tratamento: controlador (prepostos) e operadores, ficam sujeitos às sanções dispostas nos artigos 52 a 54.
7.1.1. Art. 52, § 3º - O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011. (Redação dada pela Lei nº 13.853, de 2019)
7.1.2. Possíveis sanções
7.1.2.1. I - advertência, com indicação de prazo para adoção de medidas corretivas;
7.1.2.2. II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
7.1.2.3. III - multa diária, observado o limite total a que se refere o inciso II;
7.1.2.4. IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
7.1.2.5. V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
7.1.2.6. VI - eliminação dos dados pessoais a que se refere a infração;
7.1.2.7. X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
7.1.2.8. XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
7.1.2.9. XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)