4ª reunião ordinária do grupo de trabalho discutiu o papel da tecnologia na LGPD para Cartórios
No dia 21 de outubro, o Grupo de Estudos do Instituto Brasileiro de Direito Imobiliário (IBRADIM) sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) nas serventias extrajudiciais se reuniu para discutir o papel da tecnologia para atendimento pelas diversas especialidades cartoriais à LGPD, sempre com vistas a dirimir conflitos aparentes em torno da publicidade de informações, direito dos titulares e os preceitos de proteção de dados.
A LGPD, lei federal nº 13.709, foi aprovada em agosto de 2018 e entrou em vigor a partir de agosto de 2020, embora as sanções comecem a viger apenas em agosto de 2021. A lei atinge diversos setores e serviços, pois exige que entidades mantenham a governança de dados pessoais para dar transparência aos tratamentos que são realizados e atender aos direitos dos titulares dos dados (autodeterminação informativa).
Entre esses setores está o imobiliário, que possui uma cadeia de informações que envolve uma série de agentes: construtor, advogado, delegatário, registradores, corretor de imóveis, consumidor, etc.
Os Cartórios são especialmente mencionados no artigo 23, §4º da LGPD como também sujeitos à observância do seu regramento. O grupo debate a aplicação da lei no ambiente extrajudicial com o fito de buscar melhores práticas, que, de um lado, não burocratizem a atividade e prejudiquem o usuário, e, de outro, que tragam eixos seguros de atendimento aos preceitos da LGPD para a atividade cartorial.
Em análise do tráfego de informações nos cartórios, a reunião presidida pelo vice-presidente do IBRADIM, Bernardo Chezzi, que coordena o grupo, contou com a exposição do convidado Márcio Bordignon, especialista na área de Tecnologia da Informação há mais de 30 anos, que apresentou tópicos que devem ser refletidos para a construção de soluções tecnológicas adaptáveis aos cartórios.
De acordo com Márcio Bordignon, além da tecnologia, o principal passo para adequação das serventias às melhores práticas de proteção de dados é o comportamento, ou seja, a consciência e capacitação dos operadores de dados para que não haja prejuízos ao titular dos dados. A apresentação de Márcio focou nos seguintes pontos para aprofundamento dos debates:
– Com a lei em vigor, mesmo que as sanções estejam válidas a partir de 2021, é preciso agilizar o processo de adequação do cartório para não potencializar a judicialização. Inclusive, o Ministério Público do Distrito Federal já possui uma área específica em relação a LGPD.
– O primeiro passo para o processo de conformidade com a LGPD é a conscientização e treinamento de todos os colaboradores diretos e indiretos.
– A entrada da LGPD trouxe para o mercado diversas soluções tecnológicas. Segundo Márcio, é preciso ter cautela com as soluções propostas por empresas de TI, pois não é só a tecnologia que garantirá a conformidade com a LGPD. Costumam ser plataformas de boas práticas de governança da informação, que isoladamente não garantirão conformidade com a Lei.
– O risco de vazamento de dados é eminente principalmente quando há automatização de todos os processos. Por isso, a tecnologia deve estar vocacionada especificamente para os ditames da lei em mitigação de riscos, mapeamento do tratamento dos dados e identificação de todos os atores e setores dentro de um Cartório a manejá-los.
– O que deve ser feito para se adequar? Um primeiro passo é adotar as medidas do Provimento nº 74/2018, que estipula padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil. É necessário realizar o backup de todas as operações para resguardar as informações. É preciso diferenciar as poucas situações de consentimento para o devido cumprimento legal, em que esse consentimento não é necessário; se houver hipótese de consentimento, os dados não contidos no acervo, dados interno do cartório, deverão estar aptos a serem deletados.
– O que não deve ser feito? Os cartórios que já cumprem o Provimento 74 e com protocolos de segurança devem estar atentos aos suportes remotos. A partir dessa liberação, toda proteção é perdida, porque a maioria dos ataques são feitos a partir do acesso remoto.
– Como garantir a segurança? Muitos dizem que o investimento é alto, principalmente em cartórios de menor porte, mas o mínimo que deve ser feito é a proteção básica e comportamental. Isso vai desde o papel disponível no balcão com informações sigilosas, mas que é usado como rascunho, até mesmo os mais específicos, protegidos por um sistema mais robusto.
– É importante registrar e controlar todas a evidências de dados e a trilha de auditoria dos titulares, pois isso vai respaldar a todos. Fornecedores de sistema já podem incluir isso na versão do sistema ou as serventias podem utilizar um sistema separado.
– É imprescindível o cuidado aos titulares, principalmente na forma de comunicação, seja presencial ou mensagens eletrônicas. Este último possui características técnicas de segurança particulares e, por isso, é recomendado restringir esses canais ao titular. Além disso, verificar soluções ditas como econômicas.
Em um segundo momento, os integrantes do grupo de estudo começaram debate sobre outro questionamento: até que ponto o cartório pode filtrar as informações contidas no registro para conferir-lhes publicidade?
Para os participantes do grupo de estudos, a omissão não seria o caminho, pois o delegatário não pode se negar a passar os dados em razão da disciplina Lei de Registro Públicos, que não permite essa recusa. Discutiu-se sobre a possibilidade de manutenção de um histórico com a identificação do solicitante juntamente com sua motivação, o que permitiria auditoria em caso de uso indevido dessas informações fora da legítima expectativa do titular. Nesse caso, as partes que abusaram dos dados pessoais (e não os delegatários) sofreriam as sanções cabíveis. Foi pontuado que esse modelo já existe inclusive na Suécia: não limitar os dados objetos da publicidade, mas sim registrar as solicitações. Condicionar o acesso dessas informações à análise de caso a caso de legitimidade ou interesse seria inviável, especialmente considerando que existem cartórios que emitem mais de 3 mil certidões por dia. O balizador não pode obstaculizar a própria publicidade, necessária para a oponibilidade erga omnes dos direitos reais.