Requisitos da LGPD para Cartórios: Síntese Normativa e Prática

Inicialmente, o Conselho Nacional de Justiça (CNJ) editou o Provimento nº 134/2022 para detalhar as medidas de adequação à LGPD no âmbito das serventias extrajudiciais. Contudo, este provimento foi majoritariamente revogado e suas disposições consolidadas no Provimento nº 149/2023, que instituiu o Código Nacional de Normas da Corregedoria Nacional de Justiça – Foro Extrajudicial (CNN/CN/CNJ-Extra). Este Código passa a ser a referência normativa central do CNJ para a atividade extrajudicial, incluindo as diretrizes de proteção de dados.

Além das normativas do CNJ, os cartórios devem observar as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização e regulamentação da LGPD no país, e as orientações de entidades setoriais, como a Cartilha Orientativa LGPD elaborada pelo Colégio Notarial do Brasil – Conselho Federal (CNB/CF).

Conforme a LGPD e as normativas do CNJ, os titulares das serventias (tabeliães e oficiais de registro), bem como interinos e interventores, são classificados como controladores de dados pessoais no exercício de suas atividades típicas. Isso significa que a eles compete tomar as decisões referentes ao tratamento dos dados pessoais coletados e processados no âmbito do cartório. Os prepostos (substitutos, escreventes, auxiliares) atuam sob a responsabilidade do controlador.

Empresas ou profissionais externos contratados para serviços que envolvam o tratamento de dados pessoais em nome do cartório (como fornecedores de software, serviços de armazenamento em nuvem, etc.) são classificados como operadores, devendo seguir as instruções do controlador e garantir a segurança dos dados.

O tratamento de dados pessoais pelos cartórios deve seguir rigorosamente os princípios estabelecidos no artigo 6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

A principal base legal que justifica o tratamento de dados pessoais na atividade notarial e registral é o cumprimento de obrigação legal ou regulatória (art. 7º, II, LGPD). A vasta legislação que rege a atividade (Lei nº 6.015/73, Lei nº 8.935/94, Lei nº 9.492/97, Código Civil, normativas do CNJ e das Corregedorias estaduais, etc.) impõe a coleta e o registro de diversos dados pessoais para a prática dos atos (escrituras, registros, certidões, protestos, etc.) e para o cumprimento de deveres de informação a órgãos públicos (como COAF, Receita Federal, Centrais Eletrônicas).

Outras bases legais podem ser aplicáveis em contextos específicos, como a execução de contrato (art. 7º, V) para a relação com prepostos ou fornecedores, ou o consentimento (art. 7º, I) para atividades que extrapolem a obrigação legal estrita, como o envio de comunicações informativas (embora esta base deva ser usada com cautela na atividade principal).

O tratamento de dados pessoais sensíveis (art. 11) também encontra respaldo majoritariamente no cumprimento de obrigação legal ou regulatória (art. 11, II, 'a'), dada a natureza dos atos praticados (ex: dados de filiação em registros de nascimento, regime de bens em registros de casamento).

O processo de adequação à LGPD, conforme detalhado na cartilha do CNB/CF e implícito nas normas do CNJ, envolve diversas etapas e a implementação de medidas técnicas e organizacionais:

1. Nomeação do Encarregado (DPO): Indicar um Encarregado pelo Tratamento de Dados Pessoais, que será o ponto de contato entre o controlador, os titulares dos dados e a ANPD. Suas informações de contato devem ser publicamente divulgadas.
2. Mapeamento de Dados (Data Mapping): Realizar um levantamento detalhado de todas as atividades de tratamento de dados pessoais realizadas na serventia, identificando os tipos de dados coletados, as finalidades, as bases legais, os fluxos de compartilhamento, os sistemas envolvidos e os prazos de retenção (observando a tabela de temporalidade aplicável).
3. Relatório de Impacto à Proteção de Dados (RIPD): Elaborar o RIPD para atividades de tratamento que possam gerar alto risco aos direitos dos titulares, especialmente aquelas envolvendo dados sensíveis ou em larga escala.
4. Políticas e Procedimentos Internos:
   • Política de Privacidade e Proteção de Dados: Documento interno que estabelece as diretrizes gerais da serventia sobre o tema.
   • Aviso de Privacidade: Documento externo (físico e/ou online) informando aos titulares como seus dados são tratados.
   • Política de Segurança da Informação: Definir e implementar medidas técnicas e administrativas para proteger os dados.
   • Procedimentos para Atendimento aos Direitos dos Titulares: Criar canais e fluxos claros, gratuitos e de fácil acesso.
   • Procedimento de Resposta a Incidentes de Segurança: Definir como agir em caso de incidentes.
5. Gestão de Terceiros (Operadores): Revisar contratos com fornecedores que tratam dados pessoais, incluindo cláusulas específicas sobre proteção de dados e responsabilidades.
6. Treinamento e Conscientização: Capacitar continuamente todos os prepostos sobre a LGPD e as políticas internas da serventia.
7. Transparência: Informar de forma clara e acessível aos titulares sobre o tratamento de seus dados.

Os titulares têm direitos garantidos pela LGPD (art. 18), como confirmação da existência do tratamento, acesso aos dados, correção de dados incompletos, inexatos ou desatualizados. No contexto dos cartórios, direitos como anonimização, bloqueio, eliminação e portabilidade encontram limitações significativas devido à necessidade de manutenção dos registros públicos por força de lei e à natureza da atividade, que visa garantir publicidade, autenticidade, segurança e eficácia dos atos jurídicos.

O acesso a informações de terceiros contidas nos registros públicos segue as regras específicas de cada ato e da legislação pertinente (ex: certidões podem ser solicitadas por qualquer interessado, salvo exceções legais como testamentos antes da morte do testador).

O compartilhamento de dados com órgãos públicos (COAF, Receita Federal, Justiça Eleitoral, etc.) e com as Centrais Eletrônicas (CENSEC, e-Notariado, ONR, etc.) geralmente se baseia no cumprimento de obrigação legal ou regulatória, não necessitando de consentimento do titular. Contudo, a serventia deve ser transparente sobre esses compartilhamentos (salvo sigilo legal) e garantir que ocorram por meios seguros.