O advogado Luis Calazans dá orientações de como evitar vazamentos de dados
Em entrevista ao Colégio Notarial do Brasil – Seção Bahia (CNB/BA), o advogado Luis Calazans fala sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) aplicada aos cartórios extrajudiciais e como eles podem se proteger contra os vazamentos de dados e ataques cibernéticos.
Luis Calazans também é vice-presidente da Comissão de Direito da Tecnologia e Informação da OAB/BA-VCA, especialista em Direito Público Regulatório de Tecnologias e Internet pelo Instituto New Law e graduando em Segurança da Informação pela Universidade de Salvador.
Leia a entrevista na íntegra:
CNB/BA: Em agosto deste ano começou a valer as sanções administrativas para quem cometer infração prevista na LGPD. As sanções também se aplicam aos cartórios, caso ocorra vazamentos de dados nos arquivos das serventias extrajudiciais? Quais são as sanções previstas?
Luis Calazans: Os notários e registradores são expressamente mencionados no artigo 23, §4º como classe submetida às determinações e recomendações trazidas na LGPD. Sendo assim, a legislação traz a previsão de sanções administrativas a serem aplicadas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) – que é o órgão responsável pela fiscalização e regulamentação desta lei – que pode ser desde uma advertência até uma multa de 2% do faturamento anual da serventia, limitada em R$ 50.000.000,00. Além disso, existem algumas sanções que, pela natureza das serventias extrajudiciais, não se aplicariam como, por exemplo, a proibição parcial ou total da atividade de tratamento de dados, afinal, impediria que o serviço público delegado tivesse continuidade. Cabe ressaltar também a responsabilidade civil por danos causados aos titulares de dados pessoais (clientes e colaboradores) no tratamento de dados pessoais destes pelas serventias (art. 42 da LGPD).
Particularmente falando, estou alinhado à corrente que defende a criação de um modelo diferenciado de responsabilização administrativa das serventias. Isso porque o provimento nº 74 do CNJ que dispõe sobre os padrões mínimos da segurança da informação, acaba por também adentrar na tutela dos dados pessoais pelas serventias, motivo pelo qual, em caso de incidente de segurança, poderíamos presenciar uma dupla responsabilização do delegatário por atividades de tratamento de dados pessoais (Corregedoria e ANPD).
CNB/BA: Quais medidas devem ser tomadas caso ocorra um vazamento, mesmo que tenha sido de forma involuntária?
Luis Calazans: Analisando a LGPD, as recomendações da ANPD e o Provimento Conjunto CGJ/CCI nº 03/2021, temos como medidas:
a) Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.
b) Comunicar ao encarregado, que é o profissional responsável por avaliar, opinar, educar e monitorar o tratamento de dados pessoais em uma organização (Art. 5º, VIII da LGPD);
c) Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD);
d) Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD); e
e) Comunicar ao Juiz Corregedor Permanente e às Corregedorias de Justiça, no prazo máximo de 48 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos (Provimento Conjunto CGJ/CCI Nº 03/2021).
CNB/BA: Como as serventias podem se proteger aos ataques cibernéticos e assim proteger os dados que armazenam?
Luis Calazans: Especialmente sobre este tema, acredito ser indispensável a criação de uma cultura de proteção de dados dentro da serventia, através de treinamentos rotineiros. Digo isto porque o ativo mais vulnerável a ataques cibernéticos são os colaboradores. As técnicas de engenharia social, ou seja, a indução de usuários desavisados a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados, são largamente utilizadas por cibercriminosos. Claro que algumas soluções de rotina como a utilização de sistemas confiáveis e certificados, servidores seguros e monitorados 24 horas por dia, backup diário, utilização de senhas fortes, ajudam a manter a segurança dos dados tratados pela serventia.
Além disso, o Provimento nº 74 do CNJ traz algumas determinações no sentido da manutenção da segurança da informação. Vale ressaltar também que uma consultoria técnica em LGPD é capaz de conferir o alinhamento com as boas práticas de segurança e privacidade. Sei da realidade dos cartórios da Bahia que, em sua maioria, operam na renda mínima e, por isso, não disponibilizam de verbas para investimentos, mas, no mínimo, sugiro os cuidados de rotina mencionados acima.
CNB/BA: O que seria o ROPA (Record Of Processing Activities), previsto no artigo 37 da LGPD? Ela se aplica para os cartórios?
Luis Calazans: O ROPA (Record Of Processing Activities) significa Registros das Atividades de Tratamento. É o documento que relata todas as operações de tratamento de dados pessoais dentro de uma organização. Como os notários e registradores estão submetidos à LGPD, o Provimento Conjunto CGJ/CCI Nº 03/2021 trouxe no seu art. 9º também a necessidade do ROPA. Basicamente, os delegatários devem documentar como funcionam todas as operações de tratamento de dados pessoais dentro da serventia, ou seja, qual é o fluxo que os dados tomam em cada atividade fim ou de meio desenvolvida dentro da serventia. Assim, o processo de lavratura de uma escritura de compra e venda é uma atividade de tratamento, o processo de contratação de um colaborador é outra atividade de tratamento, assim por diante.
CNB/BA: Qual a melhor forma para os cartórios armazenarem seus dados com segurança?
Luis Calazans: Fazendo consultorias de adequação à LGPD, eu notei que cada organização possui suas peculiaridades e limitações. Não é diferente com os cartórios extrajudiciais. Pela minha experiência prática já desenvolvida na adequação de serventia extrajudicial, posso dizer que as determinações trazidas no Provimento n° 74 do CNJ auxiliam nessa questão. A utilização de sistemas seguros e monitorados, com backup diário e o isolamento do CPD com controle de acesso, são boas medidas. Se o(a) delegatário(a) tiver um servidor local, vale buscar uma consultoria técnica de T.I. para que sejam adotadas as melhores práticas de segurança, utilizando, por exemplo, as da família ISO/IEC 27000, que é um padrão internacional.
Mas devemos lembrar que a LGPD não fala somente de dados lógicos, mas também daqueles físicos. O acervo de livros deve ficar em sala própria, com controle de acesso por chave, os colaboradores não devem deixar pastas de clientes sobre a mesa ou expostas ofertando acesso facilitado, como também devem eliminar por completo a utilização de rascunhos, pois podem conter dados pessoais de clientes.
Fonte: Assessoria de Comunicação do CNB/BA
