(Revogado pelo Provimento n° 3/2023)
Provimento Nº 19 - CGJUS/ASJECGJUS
Regulamenta o processo de tratamento e proteção de dados pessoais pelos Delegatários Titulares, Interventores e Interinos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins de que trata o art. 236 da Constituição da República.
A Excelentíssima Senhora Desembargadora Etelvina Maria Sampaio Felipe, Corregedora-Geral de Justiça do Estado do Tocantins, no exercício de suas atribuições legais e regimentais, e
CONSIDERANDO que os artigos 37 e 38, da Lei nº 8.935, de 18 de novembro de 1994, atribuem ao Poder Judiciário a fiscalização dos serviços notariais e de registros;
CONSIDERANDO ser a Corregedoria-Geral da Justiça o órgão competente para proceder à normatização e fiscalização dos serviços notariais e de registros no Estado do Tocantins;
CONSIDERANDO a proteção dos dados pessoais promovida pela Lei Federal n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);
CONSIDERANDO que o novo regime de tratamento de dados pessoais se aplica aos serviços públicos extrajudiciais de notas e de registros prestados na forma do art. 236 de Constituição da República;
CONSIDERANDO que os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, no desempenho de suas atividades, são controladores de dados pessoais;
CONSIDERANDO o compartilhamento de dados pessoais com as Centrais de Serviços Eletrônicos Compartilhados, pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, decorrente de previsões legais e normativas;
CONSIDERANDO a diretriz Estratégica 4/2021 do Conselho Nacional de Justiça, da necessidade das Corregedorias-Gerais da Justiça, de editar norma para regulamentar e supervisionar a adequação dos serviços notariais e de registro às disposições contidas na Lei Geral de Proteção de Dados – LGPD, inclusive mediante verificação nas inspeções ordinárias;
CONSIDERANDO a Resolução n. 363 de 12 de janeiro de 2021 do Conselho Nacional de Justiça, que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais, o qual determina que os serviços extrajudiciais sob a supervisão da Corregedoria-Geral da Justiça, analisem a adequação à LGPD no âmbito de suas atribuições;
CONSIDERANDO a Resolução n. 17 de 12 de janeiro de 2021 do Tribunal de Justiça do Estado do Tocantins, que Institui o Comitê Gestor de Proteção de Dados Pessoais, órgão Encarregado pelo Tratamento de Dados Pessoais do Poder Judiciário do Estado do Tocantins e outras providências;
CONSIDERANDO os enunciados registrados no 85º Encontro do Colégio Permanente de Corregedores Gerais dos Tribunais de Justiça do Brasil (ENCOGE), realizado no dia 25 de março de 2021;
CONSIDERANDO o compartilhamento de dados pessoais com as Centrais de Serviços Eletrônicos Compartilhados, pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins, decorrente de previsões legais e normativas; e
CONSIDERANDO o decidido no Processo SEI n. 21.0.000002548-5.
RESOLVE:
Art. 1º. O regime estabelecido pela Lei Federal n. 13.709, de 14 de agosto de 2018, deverá ser observado em todas as operações de tratamento realizadas pelos delegatários dos serviços extrajudiciais de notas e de registro do Estado do Tocantins a que se refere o art. 236 da Constituição Federal, independentemente do meio ou do país onde os dados sejam armazenados e tratados, ressalvado o disposto no art. 4º daquele estatuto.
§1º. No tratamento dos dados pessoais, os responsáveis pelos serviços extrajudiciais de notas e de registro do Estado do Tocantins deverão observar os objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei Federal n. 13.709/2018.
§2º. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins, na qualidade de titulares, interinos ou interventores, são controladores e responsáveis pelas decisões referentes ao tratamento dos dados pessoais.
§3º. O tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios será promovido de forma a atender à finalidade da prestação do serviço, na persecução do interesse público, e com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas dos serviços públicos delegados.
Art. 2º. Consideram-se inerentes ao exercício dos ofícios os atos praticados nos livros mantidos por força de previsão nas legislações específicas, incluídos os atos de inscrição, transcrição, registro, averbação, anotação, escrituração de livros de notas, reconhecimento de firmas, autenticação de documentos; as comunicações para unidades distintas, visando às anotações nos livros e atos nelas mantidos; os atos praticados para a escrituração de livros previstos em normas administrativas; as informações e certidões; os atos de comunicação e informação para órgãos públicos e para centrais de serviços eletrônicos compartilhados que decorrerem de previsão legal ou normativa.
Art. 3º. O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos ofícios notariais e registrais, no cumprimento de obrigação legal ou normativa, independe de autorização específica da pessoa natural que deles for titular.
§1º. O tratamento de dados pessoais decorrente do exercício do gerenciamento administrativo e financeiro promovido pelos responsáveis pelas delegações será realizado em conformidade com os objetivos, fundamentos e princípios decorrentes do exercício da delegação mediante outorga a particulares.
§2º. Para o tratamento dos dados pessoais os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, sob sua exclusiva responsabilidade, poderão nomear operadores integrantes e operadores não integrantes do seu quadro de prepostos, desde que na qualidade de prestadores terceirizados de serviços técnicos.
Art. 4º. Os prepostos e os prestadores terceirizados de serviços técnicos deverão ser orientados sobre os deveres, requisitos e responsabilidades decorrentes da Lei Federal n. 13.709/2018, e manifestar a sua ciência, por escrito, mediante cláusula contratual ou termo autônomo a ser arquivado em classificador próprio físico ou digital.
Art. 5º. Cabe aos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins orientar todos os seus operadores sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiverem acesso, bem como sobre as respectivas responsabilidades, e arquivar, em classificador próprio físico ou digital, as orientações transmitidas por escrito e a comprovação da ciência pelos destinatários.
Art. 6º. Compete aos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins verificar o cumprimento, pelos operadores prepostos ou terceirizados, do tratamento de dados pessoais conforme as instruções que fornecer e as demais normas sobre a matéria.
Art. 7º. A orientação aos operadores, e a qualquer outra pessoa que intervenha em uma das fases de coleta, tratamento e compartilhamento abrangerá, ao menos:
I. as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
II. a informação de que a responsabilidade dos operadores prepostos, ou terceirizados, e de qualquer outra pessoa que intervenha em uma das fases abrangida pelo fluxo dos dados pessoais, subsiste mesmo após o término do tratamento.
Art. 8º. O delegatário responsável pelo serviço extrajudicial de notas e de registro do Estado do Tocantins também deverá manter arquivados, para efeito de formulação de relatórios de impacto, os comprovantes da participação em cursos, conferências, seminários ou qualquer modo de treinamento proporcionado pelo controlador aos operadores e encarregado, com indicação do conteúdo das orientações transmitidas por esse modo.
Art. 9º. Cada unidade dos serviços extrajudiciais de notas e de registro do Estado do Tocantins deverá manter um encarregado que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
§1º. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins poderão nomear encarregado integrante do seu quadro de prepostos, ou prestador terceirizado de serviços técnicos.
§2º. Poderão ser nomeados como encarregados prestadores de serviços técnicos com remuneração integralmente paga, ou subsidiada, pelas entidades representativas de classe.
§3º. A nomeação do encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio físico ou digital, de que participarão o controlador na qualidade de responsável pela nomeação e o encarregado.
§4º. A nomeação de encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro do Estado do Tocantins, quando for solicitado pelo titular dos dados pessoais.
Art. 10. A atividade de orientação dos prepostos e prestadores de serviços terceirizados sobre as práticas a serem adotadas em relação à proteção de dados pessoais, desempenhada pelo encarregado, não afasta igual dever atribuído aos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins.
Art. 11. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins manterão em suas unidades:
I. sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro;
II. política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo claro e acessível, aos tratamentos realizados e a sua finalidade;
III. canal de atendimento adequado para informações, reclamações e sugestões ligadas ao tratamento de dados pessoais, com fornecimento de formulários para essa finalidade.
Art. 12. A política de privacidade e o canal de atendimento aos usuários dos serviços extrajudiciais deverão ser divulgados por meio de cartazes que deverão ser afixados nas unidades e avisos nos sítios eletrônicos mantidos pelas delegações de notas e de registro se possuírem, de forma clara e que permita a fácil visualização e o acesso intuitivo.
Parágrafo único. De igual modo, os responsáveis pelas delegações, a política e privacidade e a identificação do canal de atendimento também deverão ser divulgados nos recibos entregues para as partes solicitantes dos atos notariais e de registro.
Art. 13. O controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, conterá:
I. a identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa;
II. os registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:
a) finalidade do tratamento;
b) base legal ou normativa;
c) descrição dos titulares;
d) categoria dos dados que poderão ser pessoais, pessoais sensíveis ou pseudonimizados, com alerta específico para os dados sensíveis;
d) categoria dos dados que poderão ser pessoais, pessoais sensíveis ou anonimizados, com alerta específico para os dados sensíveis; (Alterado pelo Provimento n° 01/2022)
e) categorias dos destinatários;
g) identificação dos sistemas de manutenção de bancos de dados e do seu conteúdo;
h) medidas de segurança adotadas;
i) obtenção e arquivamento das autorizações emitidas pelos titulares para o tratamento dos dados pessoais, nas hipóteses em que forem exigíveis;
j) política de segurança da informação;
k) planos de respostas a incidentes de segurança com os dados pessoais mantidos sobre sua guarda e conservação.
Art. 14. Os registros serão elaborados de forma individualizada para cada ato inerente ao exercício do ofício, ou para cada ato, ou contrato, decorrente do exercício do gerenciamento administrativo e financeiro da unidade que envolva a coleta, tratamento, armazenamento e compartilhamento de dados pessoais.
Art. 15. Os sistemas de controle de fluxo abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais deverão proteger contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e permitir, quando necessário, a elaboração dos relatórios de impacto previstos no inciso XVII do art. 5º e nos arts. 32 e 38 da Lei Federal n. 13.709/2018.
Art. 16. As entidades representativas de classe poderão fornecer formulários e programas de informática para o registro do controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, adaptados para cada especialidade dos serviços extrajudiciais de notas e de registro.
§1º. Os sistemas de controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, serão mantidos de forma exclusiva em cada uma das unidades dos serviços extrajudiciais de notas e de registro do Estado do Tocantins, sendo vedado o compartilhamento dos dados pessoais sem autorização específica, legal ou normativa, mesmo que para a empresa do sistema de automação cartorária.
§2º. Os sistemas utilizados para o tratamento e armazenamento de dados pessoais deverão atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei Federal n. 13.709/2018, ao Provimento n. 13/2020/CGJUS/TO e demais normas regulamentares.
Art. 17. O plano de resposta a incidentes de segurança com dados pessoais deverá prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria-Geral da Justiça, no prazo máximo de 24 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.
§1º. Os incidentes de segurança com dados pessoais serão imediatamente comunicados pelos operadores ao controlador.
Art. 18. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Art. 18. A anonimização (técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa) de dados pessoais para a transferência de informações para as Centrais Eletrônicas de Serviços Compartilhados, ou outro destinatário, será efetuada em conformidade com os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei Federal n. 13.709/2018. (Alterado pelo Provimento n° 01/2022).
Art. 19. Os titulares terão livre acesso aos dados pessoais, mediante consulta facilitada e gratuita que poderá abranger a exatidão, clareza, relevância, atualização, a forma e duração do tratamento e a integralidade dos dados pessoais.
Art. 20. O livre acesso é restrito ao titular dos dados pessoais e poderá ser promovido mediante informação verbal ou escrita, conforme for solicitado.
Parágrafo único. Na informação, que poderá ser prestada por meio eletrônico, seguro e idôneo para esse fim, ou por documento impresso, deverá constar a advertência de que foi entregue ao titular dos dados pessoais, na forma da Lei Federal n. 13.709/2018, e que não produz os efeitos de certidão e, portanto, não é dotada de fé pública para prevalência de direito perante terceiros.
Art. 21. As certidões e informações sobre o conteúdo dos atos notariais e de registro, para efeito de publicidade e de vigência, serão fornecidas mediante remuneração por emolumentos na forma da Lei Estadual n. 3.408/18, ressalvadas as hipóteses de gratuidade previstas em lei específica.
Art. 22. Para a expedição de certidão ou informação restrita ao que constar nos indicadores e índices pessoais poderá ser exigido o fornecimento, por escrito, da identificação do solicitante e da finalidade da solicitação.
§1º. Igual cautela poderá ser tomada quando forem solicitadas certidões ou informações em bloco, ou agrupadas, ou segundo critérios não usuais de pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de dados pessoais.
§2º. Serão negadas, por meio de nota fundamentada, as solicitações de certidões e informações formuladas em bloco, relativas a registros e atos notariais relativos ao mesmo titular de dados pessoais ou a titulares distintos, quando as circunstâncias da solicitação indicarem a finalidade de tratamento de dados pessoais, pelo solicitante ou outrem, de forma contrária aos objetivos, fundamentos e princípios da Lei Federal n. 13.709/2018.
§3º. Os itens previstos neste artigo incidem na expedição de certidões e no fornecimento de informações em que a pseudonimização dos dados pessoais for reversível.
§3º. Os itens previstos neste artigo incidem na expedição de certidões e no fornecimento de informações em que a anonimização dos dados pessoais for reversível, observados os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei Federal n. 13.709/2018. (Alterado pelo Provimento n° 01/2022).
§4º. As certidões, informações e interoperabilidade de dados pessoais com o Poder Público, nas hipóteses previstas na Lei Federal n. 13.709/2018, e na legislação e normas específicas, não se sujeitam ao disposto nos parágrafos anteriores.
Art. 23. Deverá ser exigida a identificação do solicitante para as informações, por via eletrônica, que abranjam dados pessoais, salvo se a solicitação for realizada por responsável pela unidade, ou seu preposto, na prestação do serviço público delegado.
Art. 24. A retificação de dado pessoal constante em registro e em ato notarial deverá observar o procedimento, extrajudicial ou judicial, previsto na legislação ou em norma específica.
Art. 25. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado do Tocantins não se equiparam a fornecedores de serviços ou produtos para efeito de portabilidade de dados pessoais, mediante solicitação por seus titulares, prevista no inciso V do art. 18 da Lei Federal n. 13.709/2018.
Art. 26. É vedado aos responsáveis pelas delegações de notas e de registro do Estado do Tocantins, aos seus prepostos e prestadores de serviço terceirizados, ou qualquer outra pessoa que deles tenha conhecimento em razão do serviço, transferir ou compartilhar com entidades privadas ou equiparadas dados a que tenham acesso, salvo mediante autorização legal ou normativa.
Parágrafo único. As transferências, ou compartilhamentos, de dados pessoais para as Centrais de Serviços Eletrônicos Compartilhados, incluídos os relativos aos sistemas de registro eletrônico sob a sua responsabilidade, serão promovidas conforme os limites fixados na legislação e normas específicas.
Art. 27. A inutilização e eliminação de documentos não afasta os deveres previstos na Lei Federal n. 13.709/2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo de conservação adotado na unidade dos serviços extrajudiciais de notas e de registro do Estado do Tocantins.
Art. 28. As Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 horas, contadas do seu conhecimento, aos responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria-Geral da Justiça, com esclarecimento sobre os planos de resposta.
Parágrafo único. O plano de resposta conterá, no mínimo, a indicação da natureza do incidente, das suas causas, das providências adotadas para a mitigação de novos riscos, dos impactos causados e das medidas adotadas para a redução de possíveis danos aos titulares dos dados pessoais.
Art. 29. O desrespeito às normas da Lei Geral de Proteção de Dados Pessoais - LGPD não afasta a imediata possibilidade de reparação civil por danos, nem a imposição de sanção de natureza disciplinar prevista na Lei Federal n. 8.935/94, além de sanção específica pela Autoridade Nacional de Proteção de Dados – ANPD.
Art. 30. Os casos omissos serão resolvidos pelo (a) Corregedor(a) Geral da Justiça.
Art. 31. Este Provimento entrará em vigor após 30 (trinta) dias da data de sua publicação.
PUBLIQUE-SE. COMUNIQUE-SE
Etelvina Maria Sampaio Felipe
Corregedora-Geral da Justiça