CONSULTA DE FIRMA
* Nome completo sem acentos ou CPF sem pontuação e traços. O fato do nome constar no cadastro não significa que a firma poderá ser reconhecida.
Sábados, domingos e feriados: 12h às 18h.
Segunda a sexta-feira: 09h às 18h
Os Cartórios são guardiões do banco de dados do cidadão. Em nossa Serventia, estão registrados atos que ampliam e estabilizam negócios e garantem a pacificação social. Independente do conteúdo cartorário, é fato que, em sua grande maioria, estes documentos possuem dados pessoais e dados pessoais sensíveis dos usuários de nossos serviços.
Apesar dos princípios da Publicidade e da Transparência nortearem a atividade cartorária, eles não fazem dos Oficiais de Cartório divulgadores de informações. Ao contrário, nossa Serventia se torna ainda mais responsável pela segurança destas informações, que, se fornecidas ou disponibilizadas sem qualquer critério, podem fomentar a instabilidade e insegurança jurídica, bem como a violação de Direitos Fundamentais dos cidadãos.
Por essa razão, no Cartório zelamos pela segurança, confidencialidade e respeito ao tratamento das informações de nossos usuários, fornecedores e colaboradores. Estas diretrizes estão em nossos valores e fazem parte da nossa história.
Com o intuito de selarmos o nosso compromisso com todos os cidadãos, desenvolvemos esta Política de Privacidade de Dados, descrevendo as rotinas e procedimentos adotados na prática diária do nosso trabalho, em conformidade com as exigências da Lei Geral de Proteção de Dados (LGPD). Esperamos que, por meio deste documento, você compreenda como tratamos suas informações e qual segurança elas possuem.
Como todo Cartório de Registro Civil de Pessoas Naturais e Pessoas Jurídicas e Tabelionato de Notas, coletamos, armazenamos e tratamos uma considerável quantidade de dados pessoais de cidadãos. Essas informações pessoais coletadas são indispensáveis para o desempenho de nossa atividade cartorária. Vejamos quais são elas:
Para o exercício de nossa atividade é preciso que tenhamos acesso a diversas informações cadastrais (pessoais e pessoais sensíveis) de nossos clientes.
Entenda que, sem elas, inexiste a possibilidade de prestarmos o nosso serviço (constitucional) ao cidadão e, por isso, estamos autorizados a tratar todas essas informações (dados) sem a necessidade de requerer um consentimento escrito dos usuários dos serviços do Cartório (Art. 7°, II, V e VI da Lei Geral de Proteção de Dados).
Os dados pessoais que coletamos para a prática dos atos notariais e registrais são ou poderão ser:
• Nome;
• Documento de Identificação;
• Estado Civil;
• Endereço;
• Profissão
• Telefone(fixo/celular);
• E-mail;
• Data de Nascimentp;
• Filiação;
• Nacionalidade.
Estas informações são chamadas de cadastrais e são exigidas em todos os atos praticados em nossa Serventia, pois servem para identificação pessoal e contato acerca dos serviços realizados.
Além destes dados, é necessária a coleta de informações mais sensíveis, como:
O usuário deve ainda estar ciente de que existem procedimentos específicos que exigem a coleta de Dados Pessoais Sensíveis.
A coleta e o tratamento destes dados sensíveis seguirão os princípios da adequação, o que significa dizer que estas informações serão utilizadas estritamente para a prática dos atos cartorários e o cumprimento do dever legal do Oficial do Cartório.
Com o intuito de protegermos os dados coletados, especialmente os de natureza sensível, adotamos os elevados padrões de segurança da Lei Geral de Proteção de Dados (LGPD) e procedemos o mapeamento de todo o ciclo de dados do Cartório, estabelecendo os seguintes critérios em seu tratamento:
Internamente, os dados de pessoas físicas e os de natureza sensível são coletados, acessados e tratados com Hierarquia de Acesso . Isso significa que cada setor do Cartório terá acesso somente as informações que forem pertinentes ao exercício do seu ofício.
Em respeito à Lei de Registros Públicos (LRP), qualquer usuário do serviço poderá, mediante requerimento, solicitar informações dos atos públicos do Cartório. Entretanto, o Oficial do Cartório poderá recusar o atendimento de requerimentos de terceiros, alheios a atos que envolvam questões de cunho pessoal ou que envolva segredo de justiça.
Internamente, os colaboradores poderão ter acesso aos dados pessoais dos usuários com a estrita finalidade do exercício de seu trabalho nessa Serventia. Todos eles são treinados e assinam compromissos formais quanto a confidencialidade e o tratamento destas informações.
Somos guiados pelos princípios da Lei de Registros Públicos, equilibrando-a com a Lei Geral de Proteção de Dados. Isso faz com que tenhamos que permitir o acesso e compartilhar as informações de cidadãos com:
Nossas rotinas e regimento interno de fluxo de dados também estabelecem que tais informações nunca serão compartilhadas com terceiros para outros fins tais como: marketing, captação, venda de informação, uso privilegiado de dados, etc.
O que se pretende, com este item, é esclarecer que nenhuma destas informações serão compartilhadas senão para os específicos fins e expectativas dos titulares dos dados.
Uma das formas de segurança dos dados é através da rastreabilidade de acesso . O Cartório possui esta rastreabilidade desde o input (inserção de informações em nosso banco de dados) até o descarte/exclusão das informações.
Assim, em nosso ambiente virtual (sistemas, computadores, softwares e dispositivos móveis), os colaboradores possuem senhas e logs (registros) constando quem, quando e qual informação obteve acesso. Desta forma, nenhum acesso ao nosso sistema é realizado sem que seja gerado um log, registrando usuário, data e horário de obtenção dos dados.
Essa rastreabilidade é uma exigência da lei para que, em um eventual vazamento de dados, sejam “afunilados” e identificados os responsáveis. Causando, ainda, um importante efeito pedagógico no usuário de nossos sistemas, desestimulando a ocorrência de incidentes, intencionais ou não.
Ademais, o Cartório, exigirá o preenchimento de requerimento com a identificação do requisitante de informações para o cumprimento desta exigência legal, a fim de identificar todos aqueles que acessarem informações de terceiros, ainda que por permissivo legal.
O Cartório utiliza os mais modernos sistemas de Segurança da Informação disponíveis no mercado.
Utilizamos Firewalls e Criptografia , que reduzem a possibilidade de invasão de sistemas por hackers e o eventual sequestro e uso indevido de dados.
Contamos, ainda, com Servidor Proxy , que impede o acesso dos usuários a sites não confiáveis e que contenham vírus, malwares e trojans, provendo ao Cartório uma camada a mais de proteção.
Os computadores e dispositivos móveis da nossa Serventia são programados para alterarem sistematicamente todas as senhas a cada 45 (quarenta e cinco) dias.
Possuímos antivírus com licenças pagas, que realizam o monitoramento e escaneamento de todos os aparelhos em tempo integral, informando sobre as possíveis ameaças e eliminando-as.
Ademais, temos um departamento interno de T.I., responsável pela segurança e manutenção constante de nossos sistemas, bem como pelo treinamento e orientação dos usuários.
Dispomos, também, de parceiros externos de T.I., que garantem atualizações frequentes dos componentes de infraestrutura do Cartório, dentre eles computadores, hardwares, redes e softwares, evitando a defasagem tecnológica de nossos equipamentos.
Para a segurança dos clientes e colaboradores, o Cartório possuí um sistema de monitoramento por câmeras em toda a Serventia.
Contamos com mais de 70 (setenta) câmeras de segurança queinibem ações ilícitas e zelam pelos documentos e dados armazenados no Cartório.
As imagens gravadas contêm acesso restrito , estando disponíveis internamente, apenas ao Oficial, Substituto e equipe administrativa. Externamente, a empresa prestadora de serviço de monitoramento possui acesso as estas imagens, contudo apenas para os específicos fins de prestação dos serviços de vigilância.
O Cartório armazena as informações coletadas em locais (físicos ou digitais) que seguem a mesma confiabilidade de proteção e garantia de rastreabilidade.
Após a adoção dos programas de conformidade da LGPD, ficou definido que os dados pessoais serão armazenados segundo os seguintes critérios:
a. Livros, documentos, atos e papéis referentes aos serviços de registro: Via de regra, deverão ser mantidos armazenados (conservados) permanentemente , por prazo indeterminado, em razão do artigo 25 da Lei de Registros Públicos. As exceções são previstas no Provimento nº 50 do CNJ (Conselho Nacional de Justiça), devendo a exclusão ocorrer nas formas e moldes daquele diploma legal.
b. Currículos/Candidatos não selecionados: Os currículos de candidatos não selecionados serão armazenados por no máximo de 1 2 (doze) meses , contados da data de sua entrega.
c. Colaboradores: As informações dos funcionários do Cartório serão armazenadas pelo período mínimo de 10 (dez) anos , prazo contado a partir de seu desligamento do Cartório. Esse prazo deve-se também à proteção do cartório para defesa de eventuais reclamações trabalhistas, processos administrativos ou judiciais, incluindo os de natureza cível e tributária.
. Demais informações pessoais: Os demais dados pessoais (parceiros comerciais, fornecedores, etc.) serão armazenados pelo período mínimo de 10 (dez) anos , em razão da proteção do Cartório para defesa em eventuais processos administrativos ou judiciais, incluindo os de natureza cível e tributária.
Em virtude de Lei, os dados dos usuários, cidadãos, parceiros e mesmo colaboradores, não poderão ser deletados ou excluídos a pedido dos titulares dos dados (colaboradores, parceiros e clientes), salvo se houver determinação judicial.
As informações com prazos determinados, após vencidos poderão ser deletadas e excluídas do sistema, comprovando-se com logs de registros. O monitoramento dos prazos e seu descarte serão realizados pelos respectivos departamentos responsáveis pelos dados (Administrativo e Oficial, todos em consonância com a área de T.I.).
As informações dos usuários de nossos serviços serão tratadas e utilizadas somente para atender as finalidades e propósitos legítimos e informados nesta Política e em Lei (Lei de Registros Públicos e Lei Geral de Proteção de Dados).
Pelo Princípio da Necessidade limitaremos o tratamento dos dados ao mínimo necessário.
Nesta Serventia, a finalidade do tratamento de dados sempre será relacionada ao interesse público , cabendo ao delegatário atuar de maneira equidistante aos interesses dos usuários – não podendo praticar, pessoalmente, qualquer ato de seu interesse (art. 27 da Lei nº 8.935/1994)
Pelo Princípio da Qualidade, por sua vez, este Cartório garante a integridade dos dados pessoais, envolvendo sua exatidão, atualização, clareza e relevância, podendo o cidadão, através de Requerimento, pedir a sua retificação e/ou atualização.
Este Princípio (qualidade dos dados) é diretamente relacionado aos objetivos da atividade notarial e de registro de conferir autenticidade, segurança e eficácia dos atos jurídicos (art. 1º da Lei nº 8.935/1994).
O Princípio da Segurança prevê medidas para proteger os dados de acessos 12 não autorizados, e o Princípio da Prevenção, dispõe de medidas para evitar danos aos titulares.
Este Princípio é seguido por todos os itens constante nesta Política e assegurado por nosso Regimento Interno.
É importante ressaltar que, em razão desse princípio, a delegação da atividade notarial e registral permite a recusa motivada de requisições que impliquem manifesta e injustificada violação a direitos de titulares de dados, bem como de compartilhamentos de dados que comprometam a segurança do banco de dados da Serventia.
Para exemplificar, repetimos o exemplo dos atos notariais com dados sigilosos sem fundamento legal, ou de compartilhamento de dados através de convênio sem um mínimo de medidas de segurança.
O Princípio do Livre Acesso é a garantia da consultafacilitada ao titular sobre a integralidade de seus dados, além da forma e a duração do tratamento. No âmbito desta Serventia, esse direito se efetiva pelo bom cumprimento dos deveres de expedir certidões (previsto nos artigos 10, IV, 11, VII e art. 13, III da Lei nº 8.935/1994) e de facilitar o acesso da documentação a pessoas autorizadas (art. 30, XII).
O Princípio da Não Discriminação determina a impossibilidadede tratamento para fins discriminatórios ou abusivos. Portanto, este Cartório está proibido de inserir, nas certidões gratuitas, por exemplo, expressões que indiquem a condição de pobreza do usuário (art. 45, § 2º da Lei nº 8.935/1994).
O encarregado da Proteção de Dados deste Cartório será ELAINE FUDCHELLER DE MEDEIROS, que será o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Qualquer dúvida poderá ser encaminhada para o e-mail [email protected] .
A presente versão desta Política de Privacidade de Dados foi atualizada pela última vez em 27 de agosto de 2021.
O mundo é dinâmico e exige atualização constante. Por isso, temos o direito de modificar, a qualquer momento e sem qualquer aviso prévio, as presentes normas, especialmente para adaptá-las às evoluções da lei e do próprio software do Cartório, seja pela disponibilização de novas funcionalidades, seja pela supressão ou modificação daquelas já existentes.
Desta forma, convidamos o usuário a consultar periodicamente esta Política de Dados e verificar as atualizações constantes, demonstrando sua concordância com as novas normas.
Esperamos que não ocorram discussões e nem judicializações de qualquer questão relativa aos dados dos usuários do Cartório do Registro Civil das Pessoas Naturais e Pessoas Jurídicas e Tabelionato de Notas da 1a Zona do Juízo de Vitória da Comarca da Capital do Espírito Santo. Contudo, caso seja inevitável, fica eleito o Foro da Comarca de Vitória – ES como jurisdição.
RODRIGO SARLO ANTONIO CARTÓRIO DO REGISTRO CIVIL DAS PESSOAS NATURAIS E PESSOAS JURÍDICAS E TABELIONATO DE NOTAS DA 1• ZONA DO JUÍZO DE VITÓRIA DA COMARCA DA CAPITAL DO ESPÍRITO SANTO
O presente Relatório de Impacto à Proteção de Dados Pessoais integra o nosso Programa de Adequação a Lei Geral de Proteção de Dados Pessoais.
Este documento objetiva abordar os processos de tratamentos de dados pessoais utilizados por nossa serventia, bem como as medidas e meios para resguardar e mitigar os riscos em nossa atividade diária.
Nossa Serventia possui compromisso e integridade no tratamento de dados dos usuários de nossos serviços e de nossos colaboradores. Porquanto, elaboramos o presente relatório em conformidade com o Provimento CNJ de nº 134/2022 e a Lei nº 13.709/2018, a fim de aprimorar nosso Programa de Proteção de Dados Pessoais.
Os serviços prestados pelas serventias extrajudiciais são realizados em caráter privado por delegação do Poder Público (vide art. 236 CF/88) epossuem a incumbência legal de garantir a publicidade, autenticidade, segurança e eficácia dos atos jurídicos (vide Lei 8.935/94 e Lei 6.015/73). Desta forma, para exercer as atividades estipuladas por lei é indispensável que nossa serventia realize o tratamento de dados dos titulares que utilizam nossos serviços, conforme estipulado nesse RIPD.
O referido tratamento de dados pessoais por nossa serventia também se fundamenta na Lei Geral de Proteção de Dados, eis que ao regulamentar essa matéria, a LGPD abordou em seu art. 7, inciso II e IX que o tratamento de dados pessoais está autorizado para os fins de cumprimento de obrigação legal e para atender aos interesses legítimos do controlador ou de terceiros.
Ademais, no que tange aos dados pessoais sensíveis a Lei Geral de Proteção de Dados (13.709/2018) também fundamenta e autoriza o tratamento destes dados pelas serventias extrajudiciais, eis que o art. 11, inciso II, alínea “a” dispensou o consentimento do titular dos dados nas hipóteses de cumprimento de obrigação legal ou regulatória.
Por conseguinte, o tratamento de dados pessoais por nossa serventia encontra sua base legal na Constituição Federal de 1988, nas legislações referentes as atividades notariais e registrais e na Lei Geral de Proteção de Dados.
Em decorrência da Lei Geral de Proteção de Dados (13.709/2018) o Conselho Nacional de Justiça – CNJ editou o Provimento nº 134/2022 que estabeleceu medidas a serem adotadas pelas serventias extrajudiciais. Dentre as várias medidas estipuladas pelo referido provimento, o inciso III do art. 6º trouxe a exigência da elaboração de Relatório de Impacto à Proteção de Dados Pessoais – RIPD.
Além disso, o referido relatório tem a finalidade de demonstrar o mapeamento e o Inventário de Dados Pessoais e Dados Pessoais Sensíveis desta Serventia Extrajudicial, o objeto de seu tratamento e o seu ciclo de vida, fazendo do RIPD parte integrante, indissociável e complementar à Política de Proteção de Dados deste cartório.
Para que haja uma adequada compreensão deste RIPD, é importante que se compreenda o que é o tratamento de dados.
Por tratamento, considera-se qualquer manipulação realizada com alguma informação considerada pessoal ou sensível, como por exemplo: coletar, produzir, recepcionar, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar as informações, modificar, comunicar, transferir, difundir ou extrair (Art. 5º, X, LGPD).
Fica fácil, com isso, compreender, que todo cartório realiza vários (se não todos) destes atos de tratamento e, muitas vezes, em grande volume e quantidade.
Esclarecido que as serventias extrajudiciais realizam tratamento de dados pessoais e dados pessoais sensíveis para cumprir com suas obrigações legais, cabe enfatizar que diante deste cenário seguimos uma série de princípios que norteiam essa atividade em nosso Cartório e que subsidiam este relatório.
Os referidos princípios estão contidos em nossa Política de Proteção de Dados, eles funcionam como norteadores de nossa serventia no tratamento dos dados pessoais dos usuários de nossos serviços, são eles:
Para o exercício com excelência da atividade cartorária é fundamental o tratamento de dados (pessoais e sensíveis). A título de exemplo de Dados Pessoais nossa Serventia trata diversos dados pessoais, como:
Esses dados podem constar dos mais diversos atos cartorários de nossa serventia, tais como:
• Aditamento | • Escritura Pública de Venda e Compra |
• Apostilamento | • Escritura Declaratória |
• Ata notarial | • Escritura de Pacto Antenupcial |
• Autorização de Viagem de Menor | • Escritura de União Estável |
• Autenticação | • Hipoteca |
• Bem de família | • Homologação de Penhor Legal |
• Carta de Sentença | • Integralização de capital |
• Cartão de firma ou Assinatura | • Instituição e Convenção Condomínio |
• Certificado Digital | • Inventário e Partilha |
• Cessão de Direitos Creditórios ou de Precatórios | • Investidura |
• Cessão de Direitos Hereditários | • Mensalista |
• Comunicação de Venda de Veículo | • Nomeação de Inventariante |
• Confissão de Dívida | • Permuta |
• Contrato de namoro | • Procuração |
• Dação em pagamento | • Reconhecimento de Firmas |
• Desapropriação | • Reconhecimento de Paternidade |
• Direito de Laje | • Regularização de imóveis |
• Dissolução de União Estável | • Renúncia de herança |
• Distrato | • Rerratificação |
• Divisão, demarcação e estremação amigável | • Restabelecimento da Sociedade Conjugal |
• Divórcio e Separação | • Servidão de Passagem |
• Doação | • Sobrepartilha |
• Emancipação | • Testamento |
• Escritura Declaratória de Cremação | • Testamento Vital (DAV) |
• Escritura Declaratória de Doação de Órgãos | • Usucapião |
Ato continuo, cabe enfatizar que dos dados elencados acima, apenas os de natureza biométrica (digital) são coletados de forma rotineira em nossa serventia para os fins de cadastros de nossos usuários com o intuito de aprimorar a sua própria segurança na obtenção e emissão de certidões, além da realização de atos cartorários de forma online, garantindo-se a fidedignidade da correta identificação do titular ou solicitante de serviços.
Ademais, em casos excepcionais, não previstos neste relatório, os colaboradores e tabelião(ã) deverão se nortear pelos princípios contidos em nossa Política de Privacidade, especialmente aos que tangem à Minimização de Coleta, Finalidade e Adequação.
Outro ponto a ser elencado é que nossa serventia, sempre que possível, exime-se de coletar dados referentes ao sexo (masculino/feminino) do usuário de nossos serviços, eis Provimento ser uma informação dispensada pelo art. 2º do do CNJ nº 61/2017, que regulamenta a qualificação em requerimentos para a pratica de atos e serviços cartorários.
Por fim, cabe destacar que as informações sobre armazenamento, compartilhamento, medidas de segurança e eliminação dos dados tratados por nossa serventia se encontram exemplificados em nossa Política de Proteção de Dados.
Como mencionado nos tópicos anteriores, as serventias extrajudiciais tratam dados pessoais e pessoais sensíveis. O tratamento destes dados decorre da obrigação legal dos cartórios em garantir a publicidade, autenticidade, segurança e eficácia dos atos praticados pelos usuários de nossos serviços.
Nessa mesma ótica, destaca-se o fato de nossa serventia seguir, dentre os vários princípios trazidos pela LGPD, os princípios da finalidade, da adequação e da necessidade. Ou seja, realizamos o tratamento de dados com propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades e com contexto que deu origem ao tratamento do dado.
Ademais, nossa serventia se limita ao tratamento dos dados dos usuários de nossos serviços no mínimo necessário para a realização de nossas atribuições legais, sempre observando a finalidade, abrangência, pertinência e proporcionalidade do tratamento.
Por fim, cabe esclarecer que em conformidade com o art. 27 da Lei nº 8.935/1994, nossa serventia sempre realiza o tratamento de dados única e exclusivamente objetivando o interesse público, nos abstemos de praticar, pessoalmente, qualquer ato que esteja diretamente e/ou indiretamente ligado aos nossos interesses.
Temos a consciência do grau de importância do presente Relatório de Impacto, eis que através dele nossa serventia reforça o compromisso e integridade no tratamento de dados dos usuários de nossos serviços e de nossos colaboradores, bem como que nele constará os nossos processos de tratamentos de dados pessoais e as medidas e meios para resguardar e mitigar os riscos em nossa atividade diária.
Diante disto, na elaboração do presente RIPD, consultamos o escritório MENDES ADVOCACIA. Pois, eles possuem vasta experiência na implementação e adequação a LGPD em serventias extrajudiciais em todo o Brasil, com ênfase no Estado do Espirito Santo.
A Política de Proteção de Dados de nossa serventia é composta por diversas medidas técnicas e organizacionais, dentre as quais destacamos:
Com o objetivo de assegurar o cumprimento das medidas técnicas e organizacionais implementadas, nossa serventia promove a publicidade do nosso Programa de Proteção de Dados para os usuários de nossos serviços, para nossos colaboradores e para terceiros que possuírem interesse.
Ademais, realizamos treinamentos com nossos colaboradores, a fim de capacita-los para tratarem os dados pessoais e pessoais sensíveis conforme estabelecemos em nosso Programa de Proteção de Dados que está e conformidade com a LGPD e o Provimento CNJ nº 134/2022.
Por fim, com a finalidade de promovermos maior transparência no tratamento de dados por nossa serventia, nomeamos como encarregado pela proteção de dados o(a) Sr(a). Elaine Fudcheller de Medeiros, bem como disponibilizamos o e-mail [email protected] como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.
A LGPD ao conceituar o Relatório de Impacto à Proteção de Dados Pessoais definiu que ele é o documento pelo qual o controlador irá descrever os processos de tratamento de dados pessoais e definir quais medidas são tomadas para diminuir os riscos de incidentes.
Contudo, antes de elencar quais medidas serão tomadas é importante definir quais os riscos no tratamento de dados pessoais realizado por nossa serventia e qual o grau de impacto potencial sobre o titular dos referidos dados.
Para estipular o grau de impacto, nossa Serventia utilizou os seguintes parâmetros escalares que levam em consideração a Probabilidade de ocorrência do evento de risco e o possível Impacto que tal evento pode gerar. Desta forma, seguimos os presentes parâmetros escalares:
CLASSIFICAÇÃO | VALOR |
---|---|
Baixo | 5 |
Moderado | 10 |
Alto | 15 |
Seguindo os parâmetros escalares estabelecidos pela tabela acima, conseguimos elaborar a Matriz Probabilidade x Impacto. A elaboração da referida matriz é fundamental para embasarmos as classificações do nível de risco.
Para melhor exemplificar a matriz acima, é importante destacarmos que as cores que preenchem cada área representam o seguinte:
Estabelecido os parâmetros escalares e a Matriz Probabilidade x Impacto que nossa serventia seguira para classificar os riscos inerentes ao tratamento de dados pessoais por nossa serventia em decorrência de nossas atividades estabelecidas por lei, faz-se necessário elencar quais os risco relacionados ao tratamento de dados pessoais por nossa serventia.
Para tanto, elaboramos a tabela a seguir:
Id | Riscos referente ao tratamento de dados pessoais | P | I | Nível de Risco (P x I) |
---|---|---|---|---|
R01 | Acesso não autorizado. | 10 | 15 | 150 |
R02 | Modificação não autorizada. | 10 | 15 | 150 |
R03 | Perda. | 5 | 15 | 75 |
R04 | Roubo. | 5 | 15 | 75 |
R05 | Remoção não autorizada. | 5 | 15 | 75 |
R06 | Coleta excessiva de dados. | 10 | 10 | 100 |
R07 | Informação insuficiente sobre a finalidade do tratamento. | 10 | 15 | 150 |
R08 | Tratamento sen consentimento do titular dos dados pessoais (Caso o tratamento não seja previsto em legislação ou regulamentação pertinente) | 10 | 15 | 150 |
R09 | Falha em considerar os direitos do titular dos dados pessoais (Ex. Perda do direito de acesso) | 5 | 15 | 75 |
R10 | Compartilhar ou distribuir dados pessoais com terceiros sem amparo legal. | 10 | 15 | 150 |
R11 | Retenção prolongada de dados pessoais sem necessidade | 10 | 5 | 50 |
R12 | Vinculação/associação indevida, direta ou indireta, dos dados pessoais ao titular | 5 | 15 | 75 |
R13 | Falha/erro de processamento | 5 | 15 | 75 |
R14 | Reidentificação de dados pseudonimizados | 5 | 15 | 75 |
Estabelecemos no tópico anterior quais os riscos no tratamento de dados realizado por nossa serventia e qual o grau de risco que ele representa. Tal parâmetro se faz necessário para identificarmos e definirmos quais medidas de segurança, técnicas e administrativas adotaremos para proteger os dados pessoais dos usuários de nossos serviços.
Ademais, cabe esclarecer que as medidas adotadas por nossa serventia possuem o objetivo de eliminar, reduzir ou amenizar os riscos estabelecidos no tópico anterior.
Diante disto, para melhor visualização, confeccionamos a tabela a seguir, a fim de demonstrar quais medidas a nossa serventia adota para tratar os riscos oriundos de nossas atividades estabelecidas por lei.
Risco | Medida(s) | Efeito sobre o Risco | P | I | Nìvel (P x I) | Medida(s) Aprovada(s) |
---|---|---|---|---|---|---|
R01 | • Controle de acesso; • Segurança em rede. | Reduzir | 5 | 10 | 50 | Sim |
R02 | • Termo de responsabilidade; • Treinamentos. • Rastreabilidade. | Reduzir | 5 | 10 | 50 | Sim |
R03 | • Cópia digital dos arquivos físicos; • Backup dos arquivos digitais. | Reduzir | 5 | 5 | 25 | Sim |
R04 | • Controle de acesso; • Segurança em rede (criptografada); • Câmeras de segurança. | Reduzir | 5 | 10 | 50 | Sim |
R05 | • Responsabilidade; • Treinamentos; • Rastreabilidade. | Reduzir | 5 | 5 | 25 | Sim |
R06 | • Limitação da coleta; • Estabelecimento da finalidade do tratamento. | Reduzir | 5 | 5 | 25 | Sim |
R07 | • Política de proteção de dados; • Rotinas internas; • Treinamentos; • Publicidade das medidas adotadas; | Reduzir | 5 | 5 | 25 | Sim |
R08 | • Previsão legal para o tratamento; • Art. 236, CF/88; Leis 8.935/94 e 6.015/73; Art. 7º, II e IX da LGPD. | Reduzir | 5 | 5 | 25 | Sim |
R09 | • Política de proteção de dados; • Rotinas internas; • Treinamentos. | Reduzir | 5 | 5 | 25 | Sim |
R10 | • Política de proteção de dados; • Rotinas internas; • Treinamentos; • Publicidade; • Atribuição legal. | Reduzir | 5 | 10 | 50 | Sim |
R11 | • Política de proteção de dados; • Rotinas internas; • Treinamentos; • Atribuição legal. | Reduzir | 5 | 5 | 25 | Sim |
R12 | • Política de proteção de dados; • Rotinas internas; • Treinamentos; • Atribuição legal. | Reduzir | 5 | 10 | 50 | Sim |
R13 | • Atualizações periódicas dos sistemas. | Reduzir | 5 | 5 | 25 | Sim |
R14 | • Política de proteção de dados; • Rotinas internas; • Treinamentos; • Atribuição legal. | Reduzir | 5 | 10 | 50 | Sim |
No mais, nossa serventia esclarece que as medidas adotadas acima, possuem o objetivo de proteger os dados pessoais sensíveis dos usuários de nossos serviços de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Por fim, mesmo diante de toeas as medidas adotadas, caso ocorra algum incidente de segurança, nossa serventia se reunirá imediatamente com o setor jurídico e o encarregado pela proteção de dados (DPO) e adotaremos as medidas cabíveis para mitigar, anular ou reduzir os impactos do incidente, além de comunicar em até 48 horas úteis (a contar do conhecimento dos fatos) a Autoridade de Proteção de Dados (ANPD), ao Juiz Corregedor Permanente e a Corregedoria Geral da Justiça.
O primeiro passo para saber o que fazer no caso de um vazamento de dados é compreender o que é um vazamento de dados.
Por vazamento de dados entende-se pelo acesso à informações por terceiros que não teriam autorização para tê-lo.
Trazendo para dentro da Serventia, esse vazamento pode ocorrer de forma:
A forma de vazamento física consiste no acesso não autorizado por terceiros de atos cartorários ou registrais, ou ainda os que não se tornaram atos ou documentos “públicos”, como minutas ou documentos que não irão compô-los no formato em papel ou qualquer similar em que possuam representação material no mundo físico.
A forma de vazamento digital consiste no acesso não autorizado por terceiros de atos cartorários ou registrais, ou ainda os que não se tornaram atos ou documentos “públicos”, como minutas documentos que não irão compô-los no formato em formato de “bytes” que possam ser acessados via dispositivos telemáticos digitais como smartphones, computadores, notebooks, tablets etc.
Quanto ao volume a análise se dá se o vazamento visou uma ou algumas pessoas determinadas ou se ele se deu de forma aleatória atingindo todo ou considerável parte do banco de dados do cartório.
Em relação ao potencial do dano, a classificação verifica-se pela natureza do dado vazado: se tem natureza puramente cadastral ou se nele também há informações sensíveis (questões relativas à sexo, dados de saúde, origem étnica, raça, preferência política).
Feito esta análise, passamos as medidas de respostas e condutas oua serem adotadas.
A primeira medida inicial a ser adotada no caso de um incidente de vazamento é promover uma varredura sobre a potencial causa, que dentro dos cartórios poderão ser (não somente):
* Os exemplos acima não são taxativos, podendo as causas ser outras, variadas e conjuntas.
Identificado o potencial de causa, devem ser adotadas medidas imediatas para mitigação dos eventuais danos.
Essas medidas dependerão de análise caso a caso, entretanto, via de regra devem ser:
Promovida a classificação do vazamento e realizadas as medidas de sua contenção, deverá a Serventia, junto com seu Encarregado de Proteção de Dados quais deverão ser os próximos passos junto ao titular dos dados e autoridades de fiscalização, seguindo as seguintes recomendações:
• Potencial de Risco ao Usuário: Se o dado vazado puder colocar em risco o patrimônio, a honra, a imagem ou privacidade do usuário, deve a Serventia promover o seu imediato comunicado para que este também possa tomar as suas próprias medidas para evitar danos ou minimizá-los.
Por exemplo, no caso de um vazamento de uma ficha de firma. O usuário (titular dos dados) deve ser comunicado para que possa criar uma nova firma e não ficar sujeito à fraudes por reconhecimentos promovidos por impostores.
Um outro exemplo é o caso do vazamento de uma ata notarial com conteúdo sensível. A depender do caso, é possível ao titular tomar medidas judiciais para evitar a divulgação, pesquisas em sites e demais medidas de restrição contra potenciais terceiros que tentarem das publicidade e disseminação à informação.
• Volume: Se o vazamento se der em grande volume (vazamento total ou parcial de banco de dados), ainda que de baixo potencial lesivo ao titular, deve o responsável pela Serventia, além das medidas acima e constantes nesse relatório, promover comunicados à ANPD (Autoridade Nacional de Proteção de Dados) e à Corregedoria dando-lhes ciência do fato e das medidas que estão sendo adotadas, dentro do prazo máximo de 2 dias.
O comunicado deverá conter:
O presente RIPD buscou descrever os processos de tratamento de dados pessoais que podem gerar riscos e quais as medidas que nossa serventia adota para eliminar, reduzir ou amenizar tais riscos.
Diante disto, a fim de trazer maior segurança e efetividade ao presente RIPD, nossa serventia formaliza a aprovação deste documento através das assinaturas das seguintes pessoas:
No mais, nossa serventia possui a consciência que o mundo é dinâmico e, por consequência, existem variações de cenários tecnológicos, normativos, políticos e institucionais. Diante disto, a fim de demonstrar nosso compromisso e responsabilidade, avaliamos continuamente os riscos no tratamento de dados pessoais através darevisão deste RIPD anualmente ou sempre que surgir qualquer mudança significativa.