Clipping – Cartórios e proteção de dados: legitimação do tratamento
Consentimento, obrigação legal e políticas públicas legitimam o tratamento nas serventias. Texto 4 da série
Como visto no artigo anterior desta coletânea, tratamento é qualquer operação que realize sobre dados pessoais, e deve estar legitimado na lei para ser válido.
Na lei brasileira de proteção de dados, parte-se da ideia de que não existe dado pessoal insignificante. (…) Diante do cuidado com o tema, foi estabelecido como regra geral (art. 1º) que qualquer pessoa que trate dados, seja ela natural ou jurídica, de direito público ou privado, inclusive na atividade realizada nos meios digitais, deverá ter uma base legal para fundamentar sua atividade.[i]
Nesse artigo, serão abordas as principais hipóteses autorizativas de tratamento de dados aplicáveis às serventias extrajudiciais. Além disso, será analisado o regramento especial para o tratamento de dados pelo Poder Público, ao qual os agentes delegados são equiparados para fins da LGPD (art. 25, § 4º).
A primeira hipótese é o consentimento (art. 7, I). Consentimento é a manifestação de vontade livre, específica, informada e inequívoca de que o titular concorda com o tratamento de seus dados[ii].
O tratamento consentido de dados é recorrente nas serventias, mesmo sem um instrumento formal de consentimento. Toda vez que um usuário faz cadastro no cartório para obter algum serviço, por exemplo, consente em fornecer alguns dados como nome, RG, CPF, estado civil, profissão, contato, endereço, etc. Também consentem em fornecer seus dados todos os prestadores de serviços autônomos da serventia.
Pelo princípio da instância, o delegatário presta serviço apenas procurado pelo usuário. O consentimento pode ser pressuposto nessa situação, pois quem busca o cartório para fornecer os dados é o usuário. Todavia, por cautela e em observância ao art. 8º da LGPD, é interessante que o delegatário requeira o consentimento expresso e formal do usuário para tratamento de dados. Isso pode ser feito por declaração simples, no momento do cadastro, por exemplo, ou antes da realização dos assentamentos.
Frise-se que o tratamento é vinculado à finalidade informada ao titular no momento do consentimento. Caso haja necessidade de utilização dos dados para finalidades diversas, a legitimidade do tratamento depende de novo consentimento ou de vinculação a outra hipótese autorizativa.
A segunda hipótese é o tratamento fundamentado no cumprimento de obrigação legal ou regulatória (art. 7, II). Também se aplica aos cartórios em várias ocasiões. Uma situação corriqueira que se enquadra nessa hipótese é a consulta a bancos de dados estatais para checar a veracidade de documentos e informações. Sobretudo após o Provimento nº 88/2019 do CNJ (ver coletânea específica), é praticamente um poder-dever do delegatário efetuar tais consultas, para prevenir fraudes e comunicar operações suspeitas ao COAF. Nesses casos, há tratamento de dados em cumprimento dos deveres de “diligência razoável” (art. 7º, I do Provimento 88) e de garantir a segurança jurídica e a lisura dos atos jurídicos (art. 1, Lei nº 8.935/1994).
Outra situação de tratamento com base na legalidade ocorre nas exigências feitas a partir do juízo de qualificação, que geralmente envolvem a requisição de dados pessoais dos usuários. É o caso, por exemplo, do pedido de uma certidão de casamento para instruir um pedido de registro de alienação imobiliária, ou de um comprovante de endereço para uma pessoa que deseja lavrar uma escritura pública.
Contudo, a dispensa do consentimento “não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular” (art. 7º, § 6º da LGPD). Assim, à luz da LGPD, concebe-se três pontos de reflexão a ser considerados no momento de fazer uma exigência de qualificação:
(1) requisitar qualquer dado pessoal traz consigo o dever de proteção, pois a qualidade dos dados é um direito dos titulares. Assim, eventuais falhas na segurança podem gerar danos e responsabilizações no plano civil e disciplinar, riscos que não são de pouca relevância na gestão da serventia.
(2) todo tratamento precisa ter sua finalidade demonstrada. No caso, a finalidade deve decorrer da mesma prescrição normativa da qual a exigência é embasada.
(3) o paradigma deve ser sempre o tratamento mínimo de dados suficiente para praticar o ato, em respeito ao princípio da necessidade (art. 7º, III LGPD). Em outras palavras, quanto menos operações com dados o controlador puder fazer para conseguir seus objetivos, melhor.
Diante disso, o delegatário deve-se perguntar com sinceridade se é realmente necessário fazer a exigência. Constatada sua necessidade, que seja feita de maneira tal que requeira a menor quantidade possível de dados pessoais. Diz-se isso porque a experiência prática revela que nem sempre os critérios são tão claros nessas requisições.
Não se trata de descumprir o dever de cautela, mas de efetivá-lo em maior grau, pesando na segurança dos dados requeridos e na necessidade de tratamento. Refletir a necessidade das exigências a partir do novo contexto normativo não é mera formalidade, mas algo imprescindível para evitar riscos desnecessários à serventia.
- A terceira hipótese é o tratamento para execução de políticas públicas (art. 7, III). A lei determina que a política pública apta a legitimar tratamento de dados deve ser fundamentada em lei ou instrumento bilateral (como convênios e contratos). Esse tratamento pode ser realizado por particulares, mas em regra compete ao Estado, motivo pelo qual importa analisar, neste artigo o regime específico que os artigos 23 a 30 da LGPD estabelecem para o Poder Público.
Sem muita novidade, a lei condiciona o tratamento estatal de dados à transparência em relação às operações realizadas, efetivada pelo fácil acesso (preferencialmente pela internet) a informações como finalidade e fundamento legal do tratamento (art. 23, I) e prevê a indicação de um encarregado de tratamento de dados (art. 23, III).
O diferencial está na previsão de que o tratamento pelo Poder Público deverá ser realizado sempre “para o atendimento de sua finalidade pública, na persecução do interesse público” (art. 23, caput). Independentemente da finalidade imediata do tratamento, deve estar vinculada ao interesse público em última instância. Além disso, é peculiar à Administração a necessidade de manter seus dados em “formato interoperável e estruturado para o uso compartilhado”:
Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Assim, os dados devem ser convertidos em formato que permita fácil compartilhamento, pois é pressuposto o intercâmbio de dados entre os órgãos estatais. Em todo de uso compartilhado de dados, a LGPD resguarda os direitos dos titulares, notadamente o princípio da finalidade (art. 26) – lembrando a inaplicabilidade da LGPD ao tratamento para segurança pública, defesa nacional e segurança do Estado (art. 4º, III).
O compartilhamento de dados pode ocorrer entre as entidades estatais (público-público) ou entre entidades estatais e particulares (público-privado). O compartilhamento de dados público-público é pressuposto pela LGPD e válido como regra geral. Já o público-privado é em regra vedado, salvo em hipóteses legalmente previstas. A partir dos art. 26, § 1º e do art. 27 da LGPD, enumeram-se os seguintes permissivos legais:
(1) execução descentralizada de atividade pública (art. 26, I);
(2) dados acessíveis publicamente (art. 26, III);
(3) transferência respaldada em leis ou contratos (art. 26, IV), devidamente comunicados à ANPD (art. 26, § 2º);
(4) prevenção de fraudes e segurança dos dados (art. 26, V);
(5) consentimento do titular (art. 27, caput);
(6) hipóteses de dispensa de consentimento previstas na LGPD (art. 27, I);
(7) uso compartilhado de dados, com os requisitos do art. 23, I (art. 27, II).
A hipótese (7) é aberta, não indica uma situação específica, mas não afasta o caráter de estrita legalidade do compartilhamento de dados público-privado. Afinal, essa hipótese é condicionada aos termos do art. 23, I da LGPD, que estabelece a previsão legal como requisito para compartilhamento de dados.
Quando o agente delegado compartilha dados com entes estatais, como órgãos do Poder Judiciário por exemplo, realiza um compartilhamento público-público. Isso porque, conquanto seja uma pessoa física, que exerce sua atividade em caráter privado, equipara-se ao Poder Público para fins da LGPD.
Por outro lado, são diversas as situações próprias da atividade notarial e de registro que se amolda às hipóteses legais de compartilhamento público-privado.
O repasse de dados a particulares com consentimento do titular (art. 27, caput) ocorre na maior parte das vezes. São inúmeras as situações em que isso poderia ocorrer. A título de exemplo, ocorre frequentemente no contexto da lavratura de uma escritura pública, quando o notário compartilha dados das partes uma com as outras, por exemplo. A possível necessidade de legitimar esses compartilhamentos, tendo em vista a entrada em vigor da LGPD, torna ainda mais importante a exigência, de todos os que se cadastrarem na serventia, de assinatura de declaração de consentimento expresso para tratamento de dados.
Outra ocasião comum é o repasse de dados a prestadores de serviços em geral, que realizam atividades-meio para a serventia. Esse compartilhamento se amolda ao art. 26, IV da LGPD, que determina a comunicação dos contratos particulares à ANPD, informando previamente a existência desses canais de compartilhamento de dados públicos.
Outra precaução a ser tomada pelo delegatário é conferir se os seus prestadores de serviço possuem uma política série de proteção de dados, pois eventuais falhas na segurança podem comprometer os dados da serventia.
Fonte: JOTA Info
Foto: Arquivo