João Rodrigo Stinghen
1- Introdução e aplicabilidade
A evolução da proteção de dados é diretamente relacionada ao progresso da técnica. Por um lado, a high tech facilitou a coleta e do processamento de dados, aumentando a necessidade da proteção (liberdade); por outro, forneceu subsídios para uma aferição concreta da implementação de medidas protetivas pelos gestores de dados (transparência). Assim,
A base desse pacto é a liberdade, o fiel da balança é a transparência. Sendo assim, as leis sobre proteção de dados pessoais têm uma característica muito peculiar de redação principiológica e de amarração com indicadores mais assertivos, de ordem técnica, que permitam auferir de forma auditável se o compromisso está sendo cumprido (…)[i]
Isso é perceptível na LGPD, cujos capítulos iniciais apresentam fundamentos, conceitos e princípios e cujos últimos prescrevem mecanismos de segurança, governança e fiscalização.
Nesse artigo será abordada a primeira categoria de dispositivos, em cotejo com princípios notariais e registrais. Por isso, não serão abordados todos os princípios da LGPD, mas apenas aqueles que mais pertinentes à temática desta coletânea. Ressalte-se que a aplicabilidade da LGPD aos cartórios é inconteste, pois decorre de previsão expressa do art. 23, § 4º, que os iguala à Administração Pública para fins de proteção de dados.
2- Fundamentos e conceitos
Ao prever como fundamentos a privacidade, a autodeterminação informativa e a inviolabilidade da intimidade, da honra e da imagem, a LGPD atesta que a proteção de dados atual abarca todos os aspectos da evolução desse direito. Esse desenvolvimento histórico ocorreu pelo somatório, não pela substituição, sendo marcado por uma mudança de paradigma: não mais se concebem os dados como propriedade, mas como emanação da dignidade da pessoa humana[ii].
De maneira similar à GPDR, a LGPD fixa conceitos que facilitam sua interpretação. Dados pessoais são aqueles relacionados a pessoa natural identificada ou identificável. A LGPD não faz essa restrição, mas, por lógica, os dados devem se referir a pessoas vivas[iii]. Em sentido contrário, dado anonimizado é aquele cujo titular não pode ser identificado por meios técnicos razoáveis. Ainda, banco de dados é o conjunto estruturado de dados pessoais, em suporte eletrônico ou físico.
Dados sensíveis referem-se à condição biológica, econômica e social da pessoa, além de suas crenças e orientação sexual. O grande potencial lesivo da exposição desses dados, sua natureza personalíssima e a possibilidade de uso discriminatório justificam uma proteção maior[iv].
Está claro que os cartórios albergam grandes bancos de dados físicos e eletrônicos, nos quais contam dados relevantes para o Poder Público e para particulares. Grande parte pode ser classificada como dados pessoais e alguns como dados sensíveis. Em algumas situações, as serventias promovem a anonimizações, quando repassam dados ao poder público.
O envio do “mapa dos nascimentos, casamentos e óbitos” ao IBGE pelos RCPN (art. 49 da Lei 6.015/1973) é um exemplo de repasse em que a anonimização é fator importante para a privacidade, já que envolve dados sensíveis.
Embora a LGPD também não contemple essa distinção, com base em normas da ISO tem-se que “A informação é o dado que tem significado em algum contexto para quem o recebe”[v]. Assim, quando a informação é inserida num banco de dados eletrônico, passa ser entendida como um dado; todavia, quando ocorre algum processamento que a contextualize novamente, passa a ser novamente percebida como informação.
Nesse sentido, o acervo eletrônico da serventia é composto por dados. Mas a partir do momento em que esses dados são relacionados com outros para emissão de uma certidão, por exemplo, ou para a realização de um assentamento qualquer, o termo mais tecnicamente preciso é informação.
Tratamento é toda a operação que se realiza sobre dados pessoais. Assim como a GPDR, a LGPD se vale de exemplificações para delimitar o conceito (que não tem caráter taxativo, evidentemente). Destacam-se a coleta (que inicia o processo) e o armazenamento (que deve ser seguro, para evitar danos). Quanto os dados são transmitidos, ocorre o uso compartilhado de dados: a interconexão de dados pessoais entre entidades públicas ou privadas. No âmbito das serventias, é possível que haja praticamente todo tipo de tratamento, com exceção da comercialização de dados.
Agente de tratamento de dados pessoais é gênero que abarca duas espécies: o controlador, pessoa natural/jurídica, de direito público/privado, que toma decisões sobre o tratamento; e o operador, pessoa natural/jurídica, de direito público/privado, que realiza o tratamento em nome do controlador.
Nos cartórios, o único controlador de dados é o delegatário e todos os prepostos são operadores. Essa interpretação decorre do art. 21 da Lei nº 8.935/1994, que confere aos delegatários a responsabilidade exclusiva pela serventia, mas sobretudo do art. 20, § 3º, que condiciona todos os atos dos prepostos à autorização do delegatário
3- Princípios
Os três primeiros princípios elencados pela LGPD são interrelacionados. O princípio da finalidade delimita propósitos legítimos e informados ao titular para o qual seus dados serão utilizados. O princípio da adequação é a compatibilidade do tratamento com a finalidade informada, e o princípio da necessidade é a limitação do tratamento ao mínimo necessário para tal.
Nas serventias, as finalidades do tratamento de dados sempre serão relacionadas ao interesse público. Conforme o princípio da imparcialidade, cabe ao delegatário atuar de maneira equidistante aos interesses dos usuários – não podendo praticar, pessoalmente, qualquer ato de seu interesse (art. 27 da Lei nº 8.935/1994). Ademais, o sigilo sobre o tratamento é resguardado pelo princípio da finalidade em consonância com o dever previsto no art. 30, VI da Lei nº 8.935/1994, cuja violação, aliás, é uma infração disciplinar (art. 31, IV da Lei nº 8.935/1994).
O princípio da qualidade, por sua vez, garante a integridade dos dados pessoais, envolvendo sua exatidão, atualização, clareza e relevância.
Ora, a qualidade é diretamente relacionada aos objetivos da atividade notarial e de registro de conferir autenticidade, segurança e eficácia dos atos jurídicos (art. 1º da Lei nº 8.935/1994). Para garantir a qualidade, os assentamentos da serventia devem estar em conformidade com os fatos e o Direito, o que pressupõe a aplicação dos princípios da legalidade, da juridicidade e da tecnicidade.
Além disso, é importante manter atualizado o conhecimento sobre a legislação e a doutrina referentes à atividade (art. 30, IV da Lei nº 8.935/1994), bem como observar as normas técnicas estabelecidas pelo juízo competente (art. 30, IV), suscitando dúvida quando necessário (art. 30, XIII).
O princípio da segurança prevê medidas para proteger os dados de acessos não autorizados e de acidentes, e o princípio da prevenção, medidas para evitar danos aos titulares.
Nas serventias, a segurança e a prevenção decorrem do princípio da conservação (art. 30, I da Lei nº 8.935/1994 e art. 24 da Lei 6.014/1974). Ademais, segundo os princípios da independência e da qualificação, compete ao delegatário tomar decisões sobre a atividade de maneira autônoma em relação ao Poder Público e ao interesse dos usuários (art. 28, Lei nº 8.935/1994).
Assim, a natureza da delegação da atividade notarial e registral permite a recusa motivada de requisições que impliquem manifesta e injustificada violação a direitos de titulares de dados, bem como de acessos compartilhamentos de dados que comprometam a segurança do banco de dados da serventia.
Exemplo disso seria a requisição de acesso a dados sigilosos sem fundamento legal, ou de compartilhamento de dados através de convênio sem um mínimo de medidas de segurança. Todavia, tal recusa seria algo muito excepcional. Em regra, as requisições da Administração devem ser atendidas com prioridade (art. 30, III da Lei nº 8.935/1994), com acesso por meio eletrônico (art. 23, § 5º, LGPD). Ressalve-se, ainda, que a LGDP não se aplica a requisições de autoridades nas hipóteses do art. 4º (segurança pública interna e externa e investigação criminal).
O princípio do livre acesso é a garantia de consulta facilitada, ao titular, sobre a integralidade de seus dados, além da forma e a duração do tratamento. No âmbito das serventias, esse direito se efetiva pelo bom cumprimento dos deveres de expedir certidões (previsto nos artigos 10, IV, 11, VII e art. 13, III da Lei nº 8.935/1994) e de facilitar o acesso da documentação a pessoas autorizadas (art. 30, XII).
O princípio da não discriminação determina a impossibilidade de tratamento para fins discriminatórios ou abusivos. Uma efetivação nas serventias está na proibição de inserir, nas certidões gratuitas, expressões que indiquem a condição de pobreza do usuário (art. 45, § 2º da Lei nº 8.935/1994).
Por fim, o princípio da responsabilização e prestação de contas determina a adoção de medidas eficazes de proteção de dados. Todavia, os aspectos mais aprofundados sobre a segurança da informação e sobre a responsabilidade (civil, penal e administrativa) pelo tratamento de dados serão abordados em artigos específicos desta coletânea.
[i] PINHEIRO, Patrícia P. Proteção de Dados Pessoais: comentários à Lei n.13.709/2018 (LGPD). Saraiva, 2018. Ebook. Grifou-se.
[ii] GLITZ, Gabriela P. C. Da privacidade à proteção de dados pessoais: o caminho para uma lei geral de proteção de dados pessoais. p. 9.
[iii] PINHEIRO, Patrícia P. Proteção de Dados Pessoais… Ebook.
[iv] KONDER, Carlos N. O tratamento de dados sensíveis à luz da Lei 13.709/2018 in TEPEDINO, Gustavo. FRAZÃO, Ana. OLIVA Milena D. (coord) A Lei Geral de Proteção de Dados Pessoais: e suas repercussões no Direito Brasileiro. RT, 2019. Ebook.
[v] BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.