Dispõe sobre o tratamento e proteção de dados pessoais pelos(as) responsáveis pelas serventias extrajudiciais de Rondônia com base nas normas da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Diário da Justiça Eletrônico nº 180 | Disponibilização: 27/09/2021 | Publicação: 27/09/2021
O CORREGEDOR GERAL DA JUSTIÇA DO ESTADO DE RONDÔNIA, Desembargador VALDECI CASTELLAR CITON, no uso de suas atribuições legais e regimentais,
CONSIDERANDO que compete ao Poder Judiciário fiscalizar os serviços de notas e registros públicos, nos moldes do art. 236, §1° da Constituição Federal de 1988 c/c artigo 37 da Lei 8.935/1994;
CONSIDERANDO o disposto na Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD);
CONSIDERANDO a Diretriz Estratégica 4 do Glossário das Metas e Diretrizes Nacionais das Corregedorias para 2021, do CNJ, que diz: "Regulamentar e supervisionar a adequação dos serviços notariais e de registro às disposições contidas na Lei Geral de Proteção de Dados – LGPD, inclusive mediante verificação nas inspeções ordinárias";
CONSIDERANDO que os(as) responsáveis pelas serventias extrajudiciais são controladores de dados pessoais quando no desempenho de suas atividades;
CONSIDERANDO os Despachos CGJ 6778 e 6781 proferidos no Processo SEI n. 0003955-39.2020.8.22.8800,
RESOLVE:
Art. 1º REGULAMENTAR o tratamento e proteção de dados pessoais a serem observados pelos(as) responsáveis pelas serventias extrajudiciais do Estado de Rondônia quando no exercício das atividades notariais e registrais, à luz do disposto na Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Art. 2º No tratamento dos dados pessoais todos(as) os(as) responsáveis e prepostos(as) deverão observar os objetivos, fundamentos e princípios dispostos nos arts. 1°, 2° e 6° da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
§ 1º As decisões referentes ao tratamento dos dados pessoais competem aos(às) responsáveis pelas serventias.
§ 2º O tratamento de dados pessoais destinados à prática dos atos notariais, registrais e aqueles inerentes às atividades desenvolvidas nas serventias extrajudiciais deverá atender à finalidade da prestação do serviço, o interesse público e a estrita observância das atribuições legais e normativas dos serviços públicos delegados.
§ 3º Consideram-se inerentes ao exercício das atividades extrajudiciais os atos praticados nos livros, incluídos os atos de inscrição, transcrição, registro, averbação, anotação, escrituração de notas, reconhecimento de firmas, autenticação de documentos, comunicações para unidades e órgãos distintos, certidões, comunicações e informações para centrais de serviços eletrônicos compartilhados.
§ 4º O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício das atividades notariais e registrais, no cumprimento de obrigação legal ou normativa, independe de autorização específica da pessoa natural que deles for titular.
§ 5º O tratamento de dados pessoais decorrentes do exercício do gerenciamento administrativo e financeiro promovido pelos(as) responsáveis pelas serventias extrajudiciais deverá ser realizado em conformidade com os objetivos, fundamentos e princípios do serviço público delegado.
§ 6º Para o tratamento de dados pessoais os(as) responsáveis pelas serventias extrajudiciais poderão nomear, sob sua inteira responsabilidade, operadores(as) integrantes e operadores(as) não integrantes do seu quadro de prepostos(as), desde que na qualidade de prestadores(as) terceirizados(as) de serviços técnicos, que deverão ser orientados sobre os deveres, requisitos e responsabilidades decorrentes da LGPD.
Art. 3º Compete aos(às) responsáveis pelas serventias extrajudiciais:
I – orientar todos(as) os(as) prepostos(as) e operadores(as) sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiverem acesso, bem como as respectivas responsabilidades, arquivando em classificador próprio as orientações transmitidas por escrito e a comprovação da ciência pelos(as) destinatários(as);
II – verificar o cumprimento, pelos(as) prepostos(as), operadores(as) e terceirizados(as), do tratamento de dados pessoais conforme as instruções fornecidas;
III - arquivar os comprovantes de participação em cursos, conferências, seminários ou qualquer modo de treinamento proporcionado pelo(a) controlador(a) aos(às) operadores(as) e encarregado(a), com indicação do conteúdo das orientações transmitidas;
IV - manter um(a) encarregado(a) que atuará como canal de comunicação entre o(a) controlador(a), os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), podendo ser do quadro de prepostos(as) ou prestador(as) terceirizado(a) de serviços técnicos, o que não afasta o dever de atendimento pelo(a) responsável pelas serventias extrajudiciais quando for solicitado pelo(a) titular dos dados pessoais.
Art. 4º Os(As) responsáveis manterão em suas unidades:
I - sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro;
II - política de privacidade que descreva os direitos dos(as) titulares de dados pessoais, de modo claro e acessível, os tratamentos realizados e a sua finalidade;
III - canal de atendimento adequado para informações, reclamações e sugestões ligadas ao tratamento de dados pessoais, com fornecimento de formulários para essa finalidade.
§1° O controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, conterá:
I - identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa;
II - os registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:
a) finalidade do tratamento;
b) base legal ou normativa;
c) descrição dos titulares;
d) categoria dos dados que poderão ser pessoais, pessoais sensíveis ou anonimizados, com alerta específico para os dados sensíveis;
e) categorias dos destinatários;
g) identificação dos sistemas de manutenção de bancos de dados e do seu conteúdo;
h) medidas de segurança adotadas;
i) obtenção e arquivamento das autorizações emitidas pelos titulares para o tratamento dos dados pessoais, nas hipóteses em que forem exigíveis;
j) política de segurança da informação;
k) planos de respostas a incidentes de segurança com os dados pessoais mantidos sobre sua guarda e conservação.
§ 2° A política de privacidade e o canal de atendimento aos(às) usuários(as) deverão ser divulgados por meio de cartazes físicos e avisos nos sites das serventias de forma clara, fácil visualização e acesso intuitivo, podendo, a critério de cada responsável, serem divulgados nos recibos entregues aos(às) usuários(as).
Art. 5° Os sistemas utilizados para o tratamento e armazenamento de dados pessoais deverão atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e demais normas regulamentares.
Art. 6° O plano de resposta a incidentes de segurança com dados pessoais deverá prever a comunicação ao Juízo Corregedor Permanente e à Corregedoria Geral da Justiça, no prazo máximo de 24 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos(às) titulares dos dados.
Parágrafo único. Os incidentes de segurança com dados pessoais serão imediatamente comunicados pelos(as) operadores(as) ao controlador.
Art. 7° As Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 (vinte e quatro) horas contados do seu conhecimento, aos(às) responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria Geral da Justiça, com esclarecimento sobre os planos de resposta.
Parágrafo único. O plano de resposta conterá, no mínimo, a indicação da natureza do incidente, das suas causas, das providências adotadas para a mitigação de novos riscos, dos impactos causados e das medidas adotadas para a redução de possíveis danos aos titulares dos dados pessoais”.
Art. 8° Os(As) titulares terão livre acesso aos dados pessoais, mediante consulta facilitada que poderá abranger exatidão, clareza, relevância, atualização, forma e duração do tratamento e integralidade dos dados pessoais.
§ 1º O livre acesso é restrito ao(à) titular dos dados pessoais e poderá ser promovido mediante informação verbal ou escrita, conforme for solicitado.
§ 2º Na informação, que poderá ser prestada por meio eletrônico, seguro e idôneo para esse fim, ou por documento impresso, deverá constar a advertência de que foi entregue ao(à) titular dos dados pessoais, na forma da LGPD, e que não produz os efeitos de certidão e, portanto, não é dotada de fé pública para prevalência de direito perante terceiros.
§ 3º Ressalvadas as hipóteses de gratuidade previstas em lei, as certidões e informações sobre o conteúdo dos atos extrajudiciais, para efeitos de publicidade e vigência, serão fornecidas mediante pagamento de emolumentos, custas e selos.
Art. 9° A inutilização e eliminação de documentos, de acordo com as regras de temporalidade e gestão documental, deverá ser promovida de forma a impedir a identificação dos dados pessoais nele contidos.
Art. 10. É vedado aos(às) responsáveis pelas serventias extrajudiciais, prepostos(as) e terceirizados(as) transferir ou compartilhar com entidades privadas dados a que tenham acesso, salvo mediante autorização legal, normativa ou por ordem judicial.
Art. 11. O desrespeito às normas da Lei Geral de Proteção de Dados Pessoais - LGPD não afasta a imediata possibilidade de reparação civil por danos, nem a imposição de sanção de natureza disciplinar prevista na Lei Federal n. 8.935/94, além de sanção específica pela Autoridade Nacional de Proteção de Dados – ANPD.
Parágrafo único. A apuração de eventual descumprimento dos deveres decorrentes da Lei nº 13.709/2018, para efeito de responsabilidade disciplinar com fundamento na Lei nº 8.935/1994, será realizada pelo Juízo Corregedor Permanente ou pela Corregedoria Geral da Justiça, independentemente das sanções administrativas impostas pela Autoridade Nacional de Proteção de Dados – ANPD.
Art. 12. Este Provimento entra em vigor na data da publicação.
VALDECI CASTELLAR CITON
Corregedor (a) Geral da Justiça