PROVIMENTO CONJUNTO CGJ/CCI Nº 03/2021
Dispõe sobre o tratamento e proteção de dados pessoais pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado da Bahia.
OS DESEMBARGADORES JOSÉ ALFREDO CERQUEIRA DA SILVA, CORREGEDOR GERAL DA JUSTIÇA, e OSVALDO DE ALMEIDA BOMFIM, CORREGEDOR DAS COMARCAS DO INTERIOR, NO USO DE SUAS ATRIBUIÇÕES LEGAIS E REGIMENTAIS, CONSIDERANDO a proteção dos dados pessoais disposta na Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);
CONSIDERANDO que o regime de tratamento de dados pessoais se aplica aos serviços extrajudiciais de notas e de registros prestados na forma do art. 236, da Constituição da República;
CONSIDERANDO que os responsáveis pelas delegações dos serviços extrajudiciais, no desempenho de suas funções, são agentes de tratamento de dados pessoais;
CONSIDERANDO o devido cumprimento dos registros públicos de obrigação legal estabelecida por lei e normas de serviço para os serviços notariais e registrais, nos termos do artigo 7º, da LGPD;
CONSIDERANDO o dever de transparência no tratamento dos dados pessoais nas serventias extrajudiciais por desinência do artigo 23, §4º, da LGPD;
CONSIDERANDO o compartilhamento de dados pessoais com as Centrais de Serviços Eletrônicos Compartilhados, pelos responsáveis pelas delegações dos serviços extrajudiciais, decorrente de previsões legais;
CONSIDERANDO a previsão constante do inciso VIII do Art. 1º da Resolução 363/2021, do CNJ, que determina aos serviços extrajudiciais adequação à LGPD, no âmbito de suas atribuições;
CONSIDERANDO os termos já constantes na Recomendação CNJ nº. 73/2020, que recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na LGPD;
RESOLVEM:
Art. 1º As normas estabelecidas pela Lei n. 13.709/2018 serão observadas em todas as operações de tratamento realizadas pelas delegações dos serviços extrajudiciais de notas e de registro a que se refere o art. 236, da Constituição Federal, ressalvado o disposto no art. 4º daquele regulamento.
Art. 2º Os delegatários dos serviços notariais e de registro, no tratamento dos dados pessoais atinentes à sua serventia, observarão os objetivos, fundamentos e princípios previstos nos artigos 1º, 2º e 6º, da Lei n. 13.709/2018.
Art.3º Compete aos responsáveis pelos serviços de notas e registros extrajudiciais, na qualidade de titular, interino ou interventor, a responsabilidade pelo controle e decisões referentes ao tratamento dos dados pessoais.
Art. 4º As ações de tratamento dos dados pessoais destinadas à prática dos atos inerentes ao exercício dos respectivos ofícios, serão promovidas de forma a atender à finalidade da prestação do serviço, e com o objetivo de desempenhar atribuições legais e normativas dos serviços públicos delegados.
Parágrafo único: Consideram-se inerentes ao exercício dos ofícios todos os atos praticados no âmbito da respectiva serventia, previstos nas normas específicas que regulam a atividade, inclusive as informações para as centrais de serviços eletrônicos compartilhados que decorrerem de previsão legal ou normativa.
Art. 5º O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos ofícios notariais e registrais, no cumprimento de obrigação legal ou normativa, independe de autorização específica da pessoa natural que deles for titular.
Art. 6º Nas operações de tratamento dos dados pessoais, os notários e registradores poderão nomear operadores integrantes e não integrantes do seu quadro de prepostos, sob sua exclusiva responsabilidade, na condição de prestadores terceirizados de serviços técnicos.
§1º Os prepostos e os prestadores terceirizados de serviços técnicos deverão ser orientados sobre os deveres, requisitos e responsabilidades decorrentes da Lei n. 13.709/2018, e manifestar a sua ciência, por escrito.
§ 2º Compete aos responsáveis pelas delegações dos serviços extrajudiciais a fiscalização dos operadores prepostos ou terceirizados, no tratamento de dados pessoais.
§ 3º A orientação aos operadores, e qualquer outra pessoa que intervenha em uma das fases de coleta, tratamento e compartilhamento abrangerá:
I – as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
II – a informação de que a responsabilidade dos operadores prepostos, ou terceirizados, e de qualquer outra pessoa que intervenha em uma das fases abrangidas pelo fluxo dos dados pessoais, subsiste mesmo após o término do tratamento.
Art. 7º Em cada unidade extrajudicial de notas e de registro será nomeado um encarregado do quadro funcional de prepostos da serventia ou prestador terceirizado jurídico ou de serviços técnicos, que intermediará a comunicação entre o controlador, os titulares dos dados, a Autoridade Nacional de Proteção de Dados (ANPD), as Corregedorias do Tribunal de Justiça da Bahia, o Juiz Corregedor Permanente e, quando necessário, o Conselho Nacional de Justiça.
§ 1º A nomeação do encarregado será promovida mediante contrato escrito, de que participarão o controlador, na qualidade de responsável pela nomeação, e o encarregado.
§ 2º A atividade de orientação dos prepostos e prestadores de serviços terceirizados sobre as práticas a serem adotadas em relação à proteção de dados pessoais, desempenhada pelo encarregado, não exclui igual dever atribuído aos responsáveis pelas delegações dos serviços extrajudiciais.
§ 3º Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro manterão em suas unidades:
I – sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro;
II – política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo claro e acessível, os tratamentos realizados e a sua finalidade.
III – permanente qualificação dos seus prepostos por meio de cursos e manuais específicos.
§4º As entidades representativas de cada atribuição dos registradores públicos poderão disponibilizar um encarregado para os seus associados.
§5º As associações poderão propor a autorregulação complementar nos termos do artigo 50,da Lei n. 13.709/2018.
Art. 8º A coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais, conterá:
I – a forma de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento, nas hipóteses de determinação legal ou normativa; II – os registros de tratamentos de dados pessoais contendo informações sobre: 1 – finalidade do tratamento; 2 – base legal ou normativa; 3 – descrição dos titulares; 4 – categoria dos dados que poderão ser pessoais, pessoais sensíveis ou anonimizados; 5 – categorias dos destinatários; 6 – prazo de conservação; 7 – identificação dos sistemas de manutenção de banco de dados e do seu conteúdo; 8 – política de segurança adotada; 9 – obtenção e arquivamento das autorizações emitidas pelos titulares para o tratamento dos dados pessoais, quando exigíveis; 10– planos de respostas a incidentes de segurança com dados pessoais.
Art. 9º. Os registros de tratamentos realizados na serventia serão elaborados de forma individualizada para cada ato inerente ao exercício do ofício, decorrente do gerenciamento administrativo e financeiro da unidade que envolva a coleta, tratamento, armazenamento e compartilhamento de dados pessoais.
§ 1° No gerenciamento privado das serventias, em atividades que não sejam as de fim do registro público, os delegatários deverão adotar as devidas diligências para adequação das práticas de tratamento de dados, inclusive na esfera contratual, nos termos da Lei n. 13.709/2018.
§ 2° Para adequação dos fluxos de dados pessoais e descrição das cautelas de segurança da informação, as serventias revisarão os modelos de minutas de contratos e convênios com terceiros já existentes, que autorizem o compartilhamento de dados, bem como elaborar orientações para as contratações futuras, em conformidade com a Lei n. 13.709/2018.
Art. 10. Os sistemas de controle de fluxo abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais deverão proteger contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e permitir, quando necessário, a elaboração dos relatórios de impacto previstos no inciso XVII do art. 5º e nos artigos 32 e 38, da Lei n. 13.709/2018.
Art. 11. Os sistemas de controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, serão mantidos de forma exclusiva em cada uma das unidades dos serviços extrajudiciais de notas e de registro, sendo vedado o compartilhamento dos dados pessoais sem autorização específica, legal ou normativa.
Parágrafo único: Os sistemas utilizados deverão atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei n. 13.709/2018, e demais normas regulamentares.
Art. 12. O plano de resposta a incidentes de segurança com dados pessoais deverá prever a comunicação ao Juiz Corregedor Permanente e às Corregedorias de Justiça, no prazo máximo de 48 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos.
Parágrafo único: Os incidentes de segurança com dados pessoais serão imediatamente comunicados pelos operadores ao controlador.
Art. 13. A anonimização de dados pessoais para a transferência de informações estatísticas para as Centrais Eletrônicas de Serviços Compartilhados, ou outro destinatário, será efetuada em conformidade com os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei n. 13.709/2018.
Art. 14. As certidões e informações sobre o conteúdo dos atos notariais e registrais, para fins de publicidade e de vigência, serão fornecidas, exclusivamente, mediante remuneração por emolumentos, ressalvadas as hipóteses de gratuidade previstas em lei.
Parágrafo único. O acesso gratuito e facilitado à informação sobre dados pessoais que são tratados pela serventia extrajudicial, previsto nos artigos 6º, IV, 9º e 18º, da Lei 13.709/2018, limita-se a informações que não sejam próprias do acervo registral, caso em que, em sendo encontrados dados pessoais nos livros do cartório, a disponibilização da informação, seja por meio da reprodução parcial, integral ou por quesitos do conteúdo dos atos notariais e de registro, será viabilizada por solicitação e expedição da devida certidão do registro, na forma da lei.
Art. 15. Para a expedição de certidão ou informação restrita ao que constar nos indicadores e índices pessoais deverá ser exigida a identificação do requerente, por escrito, bem como a finalidade da solicitação, para fins de anotação da solicitação em prontuário, mantido em pasta própria física ou digital, que viabilizará o exercício da autodeterminação informativa do titular do dado pessoal, não se responsabilizando o delegatário pelo exame dessa finalidade, salvo na hipótese de manifesta ilicitude penal, caso em que deverá negar o pedido. § 1º Serão negadas, por meio de nota fundamentada, as solicitações de certidões que visem informações em bloco (de mais de um ato notarial ou registro), ou agrupadas, ou segundo critérios não comuns de pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de dados pessoais, quando não presente o legítimo interesse do solicitante, devendo ambas as circunstâncias de deferimento ou indeferimento serem anotadas no prontuário do caput §2º Solicitações de certidão de inteiro teor do registro civil de pessoas naturais, bem como a certidão que contenha cópia de documentos pessoais arquivados nas serventias extrajudiciais apenas poderão ser fornecidas mediante análise do legítimo interesse do solicitante e de sua anotação em prontuário, à luz dos objetivos, fundamentos e princípios da Lei nº 13.709/2018. § 3º As certidões e a troca de informações, via sistema, de dados pessoais com o Poder Público, nas hipóteses previstas na Lei n. 13.709/2018, e nas demais legislações, não se submetem ao disposto no caput e nos parágrafos anteriores. § 4º É dever da serventia extrajudicial, quando o titular do dado pessoal solicitar informações, contidas no prontuário mencionado no caput, a indicar a autoria de quem solicitou seus dados pessoais ou informações sobre si, a fim de exercer seu direito de autodeterminação informativa, inclusive para reivindicar perante esses terceiros as medidas administrativas e judiciais cabíveis em caso de malversação do uso desses dados.
Art. 16. A identificação do solicitante será exigida para obtenção de informações, por via eletrônica, que compreendam dados pessoais, salvo se a solicitação for realizada por responsável de outra serventia extrajudicial, no exercício da prestação do serviço público delegado.
Art. 17. A inutilização e o descarte de documentos serão realizados em conformidade com a Tabela de Temporalidade de Documentos prevista no Provimento nº 50/2015, da Corregedoria Nacional de Justiça.
Parágrafo único: O procedimento previsto no caput não exclui os deveres previstos na Lei n. 13.709/2018, no que diz respeito aos dados pessoais que permanecerem em qualquer meio de conservação adotado pela serventia extrajudicial.
Art. 18. É defeso aos responsáveis pelas delegações extrajudiciais, aos seus prepostos e prestadores de serviço terceirizados, ou qualquer outra pessoa que deles tenha conhecimento em razão do serviço, transferir ou compartilhar com entidades privadas informações a que tenham acesso, salvo mediante autorização legal ou normativa.
Parágrafo único: As transferências ou compartilhamentos de dados pessoais para as Centrais de Serviços Eletrônicos Compartilhados, incluídos os relativos aos sistemas de registro eletrônico sob a sua responsabilidade, serão promovidas conforme os limites fixados na legislação e normas específicas.
Art. 19. Para a recepção de informações que contenham dados pessoais, as Centrais de Serviços Eletrônicos Compartilhados deverão declarar que cumprem, de forma integral, os requisitos, objetivos, fundamentos e princípios previstos nos artigos 1º, 2º e 6º da Lei n. 13.709/2018.
§ 1º A política de privacidade da respectiva Central Eletrônica de compartilhamento de serviço público, dar-se-á no seu website, com informação acessível e previsão de algum atendimento ao usuário ou por qualquer outro meio que permita sua confirmação.
§2º Os custos de implementação do programa de proteção de dados e privacidade das Centrais, bem assim de sua manutenção, serão arcados pelos delegatários da respectiva atribuição, oficiais ou interinos, na forma do Provimento 107, do CNJ.
Art. 20. As Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança contendo dados pessoais, em 48 horas, a contar do seu conhecimento, aos responsáveis pelas delegações extrajudiciais de que os receberam, inclusive os planos de resposta.
Parágrafo único: O plano de resposta será composto da indicação da natureza do incidente, suas causas, impactos causados e medidas adotadas para a diminuição dos danos aos titulares dos dados pessoais.
Art. 21. A retificação de dado pessoal constante em registro e em ato notarial deverá observar o procedimento, extrajudicial ou judicial, previsto na legislação ou em norma específica.
Art. 22. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro não se equiparam a fornecedores de serviços ou produtos para efeito de portabilidade de dados pessoais, mediante solicitação por seus titulares, prevista no inciso V do art. 18 da Lei n. 13.709/2018.
Art. 23. A eliminação de dado pessoal dependerá de ordem judicial e se dará nas estritas hipóteses normativas da Lei de Registros Públicos – 6.015/73.
Art. 24. Este Provimento entra em vigor na data de sua publicação.
Secretaria das Corregedorias, 07 de abril de 2021.
DESEMBARGADOR JOSÉ ALFREDO CERQUEIRA DA SILVA CORREGEDOR-GERAL DA JUSTIÇA
DESEMBARGADOR OSVALDO DE ALMEIDA BOMFIM CORREGEDOR DAS COMARCAS DO INTERIOR
Fonte: Poder Judiciário Diário da Justiça do Estado da Bahia |