5º reunião ordinária do grupo de trabalho discutiu o papel do DPO – Data Protection Officer – na implementação das medidas trazidas pela LGPD no âmbito dos Cartórios.
Em reunião do dia 29 de Outubro, o Grupo de Estudos do Instituto Brasileiro de Direito Imobiliário (IBRADIM) sobre a Lei Geral de Proteção de Dados (LGPD) nas serventias extrajudiciais se reuniu para debater sobre as funções desenvolvidas pelo Encarregado (DPO – Data Protection Officer), visando elucidar as principais dúvidas acerca da atuação deste profissional.
A LGPD, lei federal de nº 13.709/2018, depois de seu vacatio legis de dois anos, já se encontra em vigor. Embora eventuais sanções administrativas só possam ser impostas a partir de agosto de 2021, a conformidade legal é imperativa para evitar conflitos com os titulares de dados, que podem ser judicializados.
Sendo os delegatários controladores dos dados dos usuários de seus serviços, estes devem indicar um Encarregado (DPO), que atuará como interlocutor entre a serventia, os titulares de dados pessoais e órgãos reguladores, nos termos do artigo 41 do referido diploma.
A reunião que foi mediada pelo vice-presidente do IBRADIM e coordenador do grupo, Dr. Bernardo Chezzi. Contou-se com a ilustre presença da Dr. Cynthia, especialista em proteção de dados, que expôs e deu as diretrizes para o exercício da função do Encarregado, além de melhores práticas para adequação com a LGPD.
Como resultado deste debate, o grupo alcançou os seguintes entendimentos relacionados à aplicação da LGPD nas serventias extrajudiciais:
(1) O DPO deverá ser obrigatório nos Cartórios extrajudiciais, podendo ser pessoa física ou pessoa jurídica, interno ou externo, mas com a identidade pública para os titulares – podendo, inclusive, ser um comitê.
(2) O DPO tem como obrigações realizar a implementação das políticas de tratamento, bem como, inter alia, prestar esclarecimento aos titulares e realizar o meio de campo entre o controlador e a ANPD.
(3) O DPO precisa ter conhecimento tanto tecnológico quanto jurídico: softwares de proteção de dados, compliance, diplomas legais (Lei de acesso à informação; Marco civil da internet; Legislação de Registro Público e Normas de Serviço). Pode ser alguém de TI com o apoio do jurídico ou alguém jurídico com o apoio do TI.
(4) No caso do DPO dos Cartórios, é fundamental o conhecimento ao microssistema registral, para conhecimento da legislação e das normas de serviço pertinente, bem como o conhecimento de como funciona todos os setores da serventia.
(5) O DPO poderá responder aos questionamentos dos titulares de dados diretamente ou delegar para um corpo auxiliar. Mas não deve haver interferência do oficial do cartório nas respostas a fim de se evitar conflitos de interesse.
(6) A coleta do consentimento não é a regra na atuação das serventias judiciais, pois o acervo público registro consiste em obrigação legal, muito embora exista o dever de transparência quanto ao tratamento dos dados dos usuários, que deve estar consubstanciado na política de privacidade da serventia.
(7) Discutiu-se a possibilidade ou não da cobrança para a emissão de informações sobre a existência de tratamento de dados por meio de certidões. A Dra. Cynthia relembra que o fornecimento gratuito de informações básicas já estavam previstas na lei de acesso à informação, de modo que deve-se estabelecer a seguinte distinção: (a) informações gratuitas sobre: quais dados do titular foram tratados e como foram tratados (b) informações completas dos dados do titular inseridos no acervo cartorial, cuja reprodução integral é exclusiva de certidão, solicitada por qualquer interessado, nos termos do artigo 17 da Lei de Registros Públicos.
(8) A LPGD e a Lei do Acesso à Informação não são conflitantes. Ambas buscam balizar as atividades das serventias extrajudiciais em respeito aos princípios que constam nos diplomas legais. Em alguns casos, a lei de acesso à informação prevalecerá sobre à LGPD, de forma harmoniosa (diálogo das fontes)
(9) A malversação pelo particular de dados de um titular como fruto de abuso de direito e de má fé na solicitação de certidões com fins escusos é exceção e deve ser punida, na forma da lei. Ressaltou-se a boa medida adotada pela Suécia, que conciliou a publicidade da sua lei de registros públicos com a GDPRD (a LGPD europeia), e não cerceou a publicidade registral, mas determinou que cada solicitante de certidão e informações seja devidamente identificado para, caso haja malversação de dados de um titular a partir destas solicitações, o responsável possa ser identificado e punido.