No dia 24/08/2022, foi publicado no Diário da Justiça Eletrônico do Conselho Nacional de Justiça (DJe de 24/08/2022, Edição n. 203/2022, Seção Corregedoria, p. 18) o Provimento CN-CNJ n. 134/2022.
O referido provimento estabelece, dentro outras questões, medidas a serem adotadas pelas Serventias Extrajudiciais em território nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709, de 14 de agosto de 2018.
O Provimento entrou em vigor na data de sua publicação, observado o prazo de 180 (cento e oitenta) dias para que as serventias extrajudiciais se adequem a essa nova normativa.
No tópico que delibera sobre a governança do tratamento de dados pessoais nas serventias, considerou-se a necessidade de o responsável pela serventia extrajudicial verificar o porte da sua serventia e classificá-la, de acordo com o Provimento n. 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça (Classe I, II ou III), a fim de ser feita a adequação à legislação de proteção de dados conforme o volume e a natureza dos dados tratados, e de forma proporcional à sua capacidade econômica e financeira para aporte e custeio de medidas técnicas e organizacionais. Dentre as providências a serem observadas, destacam-se:
1) Realizar o mapeamento das atividades de tratamento e realizar seu registro;
2) Zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais;
3) Nomear o encarregado de dados pessoais, também chamado de Data Protection Officer;
4) Elaborar relatório de impacto sobre suas atividades;
5) Treinar e capacitar os prepostos.
Mapeamento:
Sobre o mapeamento dos dados, fase fundamental em qualquer programa de adequação à LGPD, consiste na atividade de identificar o banco de dados da serventia, os dados pessoais objeto de tratamento e o seu ciclo de vida, incluindo todas as operações de tratamento a que estão sujeitos, como a coleta, armazenamento, compartilhamento, descarte, e quaisquer outras operações às quais os dados pessoais estejam sujeitos.
O provimento ainda asseverou a necessidade de atualizar, sempre que necessário, não podendo ultrapassar um ano, o inventário de dados, bem como arquivá-lo na serventia e disponibilizá-lo em caso de solicitação da Corregedoria Geral da Justiça, da Autoridade Nacional de Proteção de Dados Pessoais ou de outro órgão de controle.
Gestão dos contratos:
O Provimento CN-CNJ n. 134/2022 ainda se preocupou com o tratamento de dados pessoais de seus empregados e colaboradores, exigindo, por exemplo, termos de tratamento de dados pessoais; além disso trouxe a obrigatoriedade da adequação por completo de todos os termos e contratos celebrados pela serventia, trazendo, inclusive, como necessidade a contratação de fornecedores adequados à LGPD, como se observa o Art. 9º : “Os responsáveis pelas serventias extrajudiciais deverão exigir de seus fornecedores de tecnologia, automação e armazenamento a adequação às exigências da LGPD quanto aos sistemas e programas de gestão de dados internos utilizados.”.
Encarregado de dados:
O provimento estabeleceu que as serventias deverão designar o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD, podendo, inclusive, terceirizar o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função.
O provimento ressaltou ainda que Serventias classificadas como “Classe I” e “Classe II” pelo Provimento n. 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça, poderão designar Encarregado de maneira conjunta.
Relatório de impacto:
O relatório de impacto, também chamado de Data Protection Impact Assessment é um documento que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Conforme trazido pela legislação, ao responsável pela serventia, incumbe cuidar para que seja realizado relatório de impacto à proteção de dados pessoais.
Treinamentos:
Entende-se que para haver uma efetiva implementação de um programa de adequação à LGPD, é fundamental que haja uma mudança na serventia, a fim de que seja instaurada uma cultura em privacidade e proteção aos dados pessoais. A resolução trouxe a importância e necessidade de treinamentos nas serventias, conforme leciona o artigo 16: “As serventias deverão realizar treinamentos para implementação da cultura de privacidade e proteção de dados pessoais, bem como para a capacitação de todos os envolvidos no tratamento dos dados pessoais sobre os novos controles, processos e procedimentos”.
A resolução ainda trouxe, entre outros temas; medidas de transparência e atendimento a direitos de titulares, se preocupando, inclusive, com serventias que possuem seus próprios portais, que necessitam ter: a) aviso de privacidade e proteção de dados b) avisos de cookies e c) aviso de privacidade para navegação no website da serventia.
Importante registrar ainda que a adequação à LGPD da serventia extrajudicial será objeto de verificação pelo corregedor permanente na correição anual, conforme artigo 27 do Provimento CN-CNJ n. 134/2022.
Ante todo o exposto, verifica-se a importância e necessidade da adequação das serventias extrajudiciais à LGPD, que deverão procurar consultorias com profissionais especialistas no assunto para realizarem o tratamento de dados pessoais de acordo com os normativos relativos ao tema, visando atingir o principal objetivo da lei nº 13.709, de 14 de agosto de 2018, qual seja a proteção dos dados pessoais das pessoas naturais.
Matheus Paiva Corrêa de Melo, Advogado especialista em Lei Geral de Proteção de Dados; Consultor em Privacidade e Proteção de Dados; Membro da ANPPD - Associação Nacional dos Profissionais de Privacidade de Dados.
Comments