RELATÓRIO DE IMPACTO

1.        OBJETIVO:

O presente Relatório de Impacto à Proteção de Dados Pessoais integra o nosso Programa de Adequação a Lei Geral de Proteção de Dados Pessoais.

Este documento objetiva abordar os processos de tratamentos de dados pessoais utilizados por nossa serventia, bem como as medidas e meios para resguardar e mitigar os riscos em nossa atividade diária.

Nossa Serventia possui compromisso e integridade no tratamento de dados dos usuários de nossos serviços e de nossos colaboradores. Porquanto, elaboramos o presente relatório, a fim de aprimorar nosso Programa de Proteção de Dados Pessoais.

_______________________________________________________________________

2.    BASE LEGAL:

Artigo 236 da CF/1988

Lei 6.015/1973

Lei 8.935/1994

Provimento CNJ de nº 134/2022

Lei nº 13.709/2018

A LGPD abordou em seu art. 7, inciso II e IX que o tratamento de dados pessoais está autorizado para os fins de cumprimento de obrigação legal e para atender aos interesses legítimos do controlador ou de terceiros.

Ademais, no que tange aos dados pessoais sensíveis a Lei Geral de Proteção de Dados (13.709/2018) também fundamenta e autoriza o tratamento destes dados pelas serventias extrajudiciais, eis que o art. 11, inciso II, alínea “a” dispensou o consentimento do titular dos dados nas hipóteses de cumprimento de obrigação legal ou regulatória.

Por conseguinte, o tratamento de dados pessoais por nossa serventia encontra sua base legal na Constituição Federal de 1988, nas legislações referentes as atividades notariais e registrais e na Lei Geral de Proteção de Dados.

_____________________________________________________________________

3.    AGENTES DE TRATAMENTO E OS ENCARREGADOS DE DADOS PESSOAIS:

Controlador: Conceição de Maria de Abreu Ferreira Machado

Encarregado: Andressa Rodrigues dos Santos

E-mail: privacidade@registrocivilcandeias.com

_____________________________________________________________________

4. ELABORAÇÃO DO RIPD

Em decorrência da Lei Geral de Proteção de Dados (13.709/2018) o Conselho Nacional de Justiça – CNJ editou o Provimento nº 134/2022 que estabeleceu medidas a serem adotadas pelas serventias extrajudiciais. Dentre as várias medidas estipuladas pelo referido provimento, o inciso III do art. 6º trouxe a exigência da elaboração de Relatório de Impacto à Proteção de Dados Pessoais – RIPD.

Além disso, o referido relatório tem a finalidade de demonstrar o mapeamento e o Inventário de Dados Pessoais e Dados Pessoais Sensíveis desta Serventia Extrajudicial, o objeto de seu tratamento e o seu ciclo de vida, fazendo do RIPD parte integrante, indissociável e complementar à Política de Proteção de Dados deste cartório.

______________________________________________________________________

5. COMO É REALIZADO O TRATAMENTO DE DADOS EM NOSSA SERVENTIA:

5.1. O que é tratamento de dados?

Para que haja uma adequada compreensão deste RIPD, é importante que se compreenda o que é o tratamento de dados.

Por tratamento, considera-se qualquer manipulação realizada com alguma informação considerada pessoal ou sensível, como por exemplo: coletar, produzir, recepcionar, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar as informações, modificar, comunicar, transferir, difundir ou extrair (Art. 5º, X, LGPD).

5.2. Quais os principios que norteiam o tratamento de dados de nossa serventia?

Esclarecido que as serventias extrajudiciais realizam tratamento de dados pessoais e dados pessoais sensíveis para cumprir com suas obrigações legais, cabe enfatizar que diante deste cenário seguimos uma série de princípios que norteiam essa atividade em nosso Cartório e que subsidiam este relatório.

Os referidos princípios estão contidos em nossa Política de Proteção de Dados, eles funcionam como norteadores de nossa serventia no tratamento dos dados pessoais dos usuários de nossos serviços, são eles:

a) Princípio da Finalidade: Por esse princípio, exigido também pelo Provimento CNJ n. 134/2022, a entrega de informações solicitadas por terceiros deverá atender a propósitos e fins legítimos elencados na Lei 13.709/2018 (LGPD) e devidamente informados e preenchidos em requerimento próprio.

b) Princípio da Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular em nossa Política de Dados, de acordo com o contexto do tratamento.

c) Princípio da Minimização de Tratamento: Tanto na Coleta quanto na entrega de informações/dados para o próprio titular dos dados ou para terceiros, deverão estritamente ser solicitados necessários para e utilizados somente a prática de cada os dados ato cartorário. Devem-se compatibilizar os provimentos que rege cada ato junto ao Provimento CNJ n. 134/2022.

d) Princípio da Segurança e Prevenção: Nossa Serventia adota a todas as exigências do Provimento CNJ n. 134/2022 para prevenir e garantir segurança dos dados de nossos usuários.

e) Livre Acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, integralidade pessoais, em conformidade Provimento de seus dados CNJ n. 134/2022, dando-lhe o direito de preencher formulário próprio para exercício do seu direito de Titular dos Dados

5.3. Qual a natureza e o escopo do tratamento de dados pessoais por nossa serventia?

Para o exercício com excelência da atividade cartorária é fundamental o tratamento de dados (pessoais e sensíveis). A título de exemplo de Dados Pessoais nossa Serventia trata diversos dados pessoais, como:

1. Cadastrais / Identificação: Nome Completo, CPF, RG, Estado Civil, Endereço, Telefone, E-mail, Data de Nascimento, dentre outros dados que são necessárias à identificação dos usuários de nossos serviços e exigidos pelos respectivos Provimentos de Corregedorias Estaduais e Nacionais, bem como legislações pertinentes.

2. Dados Sensíveis: em alguns casos existe a necessidade do tratamento de dados considerados sensíveis pela Lei nº 13.709/2018 (LGPD) que podem ser:

1. • Origem racial ou étnica,

2. • Convicção religiosa,

3. • Opinião política,

4. • Filiação a sindicato ou a organização de caráter religioso,

5. • Filosófico ou político, dado referente à saúde ou à vida sexual,

6. • Dado genético ou biométrico,

7. • Quando vinculado a uma pessoa natural;

3. Esses dados podem constar dos mais diversos atos cartorários de nossa serventia, tais como:

Registro de Nascimento

Registro de Óbito

Registro de Casamento

Registro de Natimorto

Registro de Demais Atos do Livro E

União Estável

Adoção

Reconhecimento de Paternidade e Maternidade

Alteração de Prenome e Gênero

Retificações Administrativas

Registro Tardio

Emancipação

Certidões de Breve Relato

Certidões em Inteiro Teor

Anotações

Averbações

Comunicações

Os dados elencados acima são coletados no intuito da correta identificação das pessoas que participam dos atos, de modo presencial e on line, garantindo-se a fidedignidade da correta identificação do titular ou solicitante de serviços.

Ademais, em casos excepcionais, não previstos neste relatório, os colaboradores e tabelião(ã) deverão se nortear pelos princípios contidos em nossa Política de Privacidade, especialmente aos que tangem à Minimização de Coleta, Finalidade e Adequação.

Por fim, cabe destacar que as informações sobre armazenamento, compartilhamento, medidas de segurança e eliminação dos dados tratados por nossa serventia se encontram exemplificados em nossa Política de Proteção de Dados e Relatório de Nível de Segurança dos Sistemas de Controle de Fluxos dos Dados Pessoais.

5.4. Qual o contexto e a finalidade do tratamento de dados pessoais por nossa serventia?

Como mencionado nos tópicos anteriores, as serventias extrajudiciais tratam dados pessoais e pessoais sensíveis. O tratamento destes dados decorre da obrigação legal dos cartórios em garantir a publicidade, autenticidade, segurança e eficácia dos atos praticados pelos usuários de nossos serviços.

Nessa mesma ótica, destaca-se o fato de nossa serventia seguir, dentre os vários princípios trazidos pela LGPD, os princípios da finalidade, da adequação e da necessidade. Ou seja, realizamos o tratamento de dados com propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades e com contexto que deu origem ao tratamento do dado.

Ademais, nossa serventia se limita ao tratamento dos dados dos usuários de nossos serviços no mínimo necessário para a realização de nossas atribuições legais, sempre observando a finalidade, abrangência, pertinência e proporcionalidade do tratamento.

Por fim, cabe esclarecer que em conformidade com o art. 27 da Lei nº 8.935/1994, nossa serventia sempre realiza o tratamento de dados única e exclusivamente objetivando o interesse público, nos abstemos de praticar, pessoalmente, qualquer ato que esteja diretamente e/ou indiretamente ligado aos nossos interesses.

_______________________________________________________________________

6. MEDIDAS QUE ADOTAMOS PARA ASSEGURAR O CUMPRIMENTO DA NOSSA POLÍTICA DE PROTEÇÃO DE DADOS:

A Política de Proteção de Dados de nossa serventia é composta por diversas medidas técnicas e organizacionais, dentre as quais destacamos:

1. • Encarregado pela proteção de dados;

2. • Relatório de Impacto à Proteção de Dados Pessoais;

3. • Política de Privacidade e de Segurança;

4. • Manual de Boas Práticas de Governança;

5. • Plano de Incidentes;

6. • Relatório de Nível de Segurança dos Sisteams de Controle de Fluxos de Dados Pessoais;

7. ROPA

Com o objetivo de assegurar o cumprimento das medidas técnicas e organizacionais implementadas, nossa serventia promove a publicidade do nosso Programa de Proteção de Dados para os usuários de nossos serviços, para nossos colaboradores e para terceiros que possuírem interesse.

Ademais, realizamos treinamentos com nossos colaboradores, a fim de capacita-los para tratarem os dados pessoais e pessoais sensíveis conforme estabelecemos em nosso Programa de Proteção de Dados que está e conformidade com a LGPD e o Provimento CNJ nº 134/2022.

Por fim, com a finalidade de promovermos maior transparência no tratamento de dados por nossa serventia, nomeamos como encarregado pela proteção de dados o(a) Sr(a). Andressa Rodrigues dos Santos, bem como disponibilizamos o e-mail privacidade@registrocivilcandeias.com como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.

7. RISCOS NO TRATAMENTO DE DADOS PELO NOSSO CARTÓRIO:

A LGPD ao conceituar o Relatório de Impacto à Proteção de Dados Pessoais definiu que ele é o documento pelo qual o controlador irá descrever os processos de tratamento de dados pessoais e definir quais medidas são tomadas para diminuir os riscos de incidentes.

Contudo, antes de elencar quais medidas serão tomadas é importante definir quais os riscos no tratamento de dados pessoais realizado por nossa serventia e qual o grau de impacto potencial sobre o titular dos referidos dados.

Para estipular o grau de impacto, nossa Serventia utilizou os seguintes parâmetros escalares que levam em consideração a Probabilidade de ocorrência do evento de risco e o possível Impacto que tal evento pode gerar. Desta forma, seguimos os presentes parâmetros escalares:

CLASSIFICAÇÃO

VALOR

Baixo                                      

5

Moderado                                   10                                       

10

Alto

15

Seguindo os parâmetros escalares estabelecidos pela tabela acima, conseguimos elaborar a Matriz Probabilidade x Impacto. A elaboração da referida matriz é fundamental para embasarmos as classificações do nível de risco.

Para melhor exemplificar a matriz acima, é importante destacarmos que as cores que preenchem cada área representam o seguinte:

1. • Verde → Risco Baixo;

2. • Amarelo → Risco Moderado;

3. • Vermelho → Risco Alto;

Estabelecido os parâmetros escalares e a Matriz Probabilidade x Impacto que nossa serventia seguira para classificar os riscos inerentes ao tratamento de dados pessoais por nossa serventia em decorrência de nossas atividades estabelecidas por lei, faz-se necessário elencar quais os risco relacionados ao tratamento de dados pessoais por nossa serventia.

Para tanto, elaboramos a tabela a seguir:

Id

Riscos referente ao tratamento de dados pessoais

P

I

Nível de Risco (P x I)

R01

 Acesso não autorizado.

10

15

150

R02

 Modificação não autorizada.

10

15

150

R03

 Perda.

5

15

75

R04

 Roubo.

5

15

75

R05

 Remoção não autorizada.

5

15

75

R06

 Coleta excessiva de dados.

10

10

100

R07

 Informação insuficiente sobre a finalidade do tratamento.

10

15

150

R08

 Tratamento sen consentimento do titular dos dados pessoais

(Caso o tratamento não seja previsto em legislação ou regulamentação pertinente)

10

15

150

R09

 Falha em considerar os direitos do titular dos dados pessoais (Ex. Perda do direito de acesso)

5

15

75

R10

 Compartilhar ou distribuir dados pessoais com terceiros sem amparo legal.

10

15

150

R11

 Retenção prolongada de dados pessoais sem necessidade

10

5

50

R12

 Vinculação/associação indevida, direta ou indireta, dos dados pessoais ao titular

5

15

75

R13

 Falha/erro de processamento

5

15

75

R14

 Reidentificação de dados pseudonimizados

5

15

75

_______________________________________________________________

8. MEDIDAS PARA TRATAR OS RISCOS:

Estabelecemos no tópico anterior quais os riscos no tratamento de dados realizado por nossa serventia e qual o grau de risco que ele representa. Tal parâmetro se faz necessário para identificarmos e definirmos quais medidas de segurança, técnicas e administrativas adotaremos para proteger os dados pessoais dos usuários de nossos serviços.

Ademais, cabe esclarecer que as medidas adotadas por nossa serventia possuem o objetivo de eliminar, reduzir ou amenizar os riscos estabelecidos no tópico anterior.

Diante disto, para melhor visualização, confeccionamos a tabela a seguir, a fim de demonstrar quais medidas a nossa serventia adota para tratar os riscos oriundos de nossas atividades estabelecidas por lei.

Risco

Medida(s)

Efeito Risco

P

I

Nìvel (P x I)

Medida(s) Aprovada(s)

R01

• Controle de acesso;

• Segurança em rede.

Reduzir

5

10

50

Sim

R02

• Termo de responsabilidade;

• Treinamentos.

• Rastreabilidade.

Reduzir

5

10

50

Sim

R03

• Cópia digital dos arquivos físicos;

• Backup dos arquivos digitais.

Reduzir

5

5  

   25

Sim

R04

• Controle de acesso;

• Segurança em rede (criptografada);

• Câmeras de segurança.

Reduzir

5

10

50

Sim

R05

• Responsabilidade;

• Treinamentos;

• Rastreabilidade.

Reduzir

5

5 

   25

Sim

R06

• Limitação da coleta;

• Estabelecimento da finalidade do tratamento.

Reduzir

5

5

    25

Sim

R07

• Política de proteção de dados;

• Rotinas internas;

• Treinamentos;

• Publicidade das medidas adotadas;

Reduzir

5

5

25

Sim

R08

• Previsão legal para o tratamento;

• Art. 236, CF/88; Leis 8.935/94 e 6.015/73; Art. 7º, II e IX da LGPD.

Reduzir

5

5

25

Sim

R09

• Política de proteção de dados;

• Rotinas internas;

• Treinamentos.

Reduzir

5

5

25

Sim

R10

• Política de proteção de dados;

• Rotinas internas;

• Treinamentos;

• Publicidade;

• Atribuição legal.

Reduzir

5

10

   50

Sim

R11

• Política de proteção de dados;

• Rotinas internas;

• Treinamentos;

• Atribuição legal.

Reduzir

5

5

25

Sim

R12

• Política de proteção de dados;

• Rotinas internas;

• Treinamentos;

• Atribuição legal.

Reduzir

5

10

   50

Sim

R13

• Atualizações periódicas dos sistemas.

Reduzir

5

5

25

Sim

R14

• Política de proteção de dados;

• Rotinas internas;

• Treinamentos;

• Atribuição legal.

Reduzir

5

10

50

Sim

No mais, nossa serventia esclarece que as medidas adotadas acima, possuem o objetivo de proteger os dados pessoais sensíveis dos usuários de nossos serviços de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Por fim, mesmo diante de todas as medidas adotadas, caso ocorra algum incidente de segurança, nossa serventia cumprirá o procedimento traçado no Plano de Incidentes, reunirá o encarregado pela proteção de dados (DPO) para adoção das medidas cabíveis para mitigar, anular ou reduzir os impactos do incidente, além de comunicar em até 48 horas úteis (a contar do conhecimento dos fatos) a Autoridade de Proteção de Dados (ANPD), ao Juiz Corregedor Permanente e a Corregedoria Geral da Justiça.

______________________________________________________________________

9. PROCEDIMENTO EM CASO DA OCORRÊNCIA DE VAZAMENTO DE DADOS:

O primeiro passo para saber o que fazer no caso de um vazamento de dados é compreender o que é um vazamento de dados.

Por vazamento de dados entende-se pelo acesso à informações por terceiros que não teriam autorização para tê-lo.

09.1. Classificação do vazamento

Trazendo para dentro da Serventia, esse vazamento pode ocorrer de forma:

1. • Física;

2. • Digital;

3. • Em pequeno volume;

4. • Em grande volume;

5. • Dados de baixo impacto;

A forma de vazamento física consiste no acesso não autorizado por terceiros de atos cartorários ou registrais, ou ainda os que não se tornaram atos ou documentos “públicos”, como minutas ou documentos que não irão compô-los no formato em papel ou qualquer similar em que possuam representação material no mundo físico.

A forma de vazamento digital consiste no acesso não autorizado por terceiros de atos cartorários ou registrais, ou ainda os que não se tornaram atos ou documentos “públicos”, como minutas documentos que não irão compô-los no formato em formato de “bytes” que possam ser acessados via dispositivos telemáticos digitais como smartphones, computadores, notebooks, tablets etc.

Quanto ao volume a análise se dá se o vazamento visou uma ou algumas pessoas determinadas ou se ele se deu de forma aleatória atingindo todo ou considerável parte do banco de dados do cartório.

Em relação ao potencial do dano, a classificação verifica-se pela natureza do dado vazado: se tem natureza puramente cadastral ou se nele também há informações sensíveis (questões relativas à sexo, dados de saúde, origem étnica, raça, preferência política).

Feito esta análise, passamos as medidas de respostas e condutas oua serem adotadas.

09.2. Medidas Iniciais

09.2.1. Possíveis Causas

A primeira medida inicial a ser adotada no caso de um incidente de vazamento é promover uma varredura sobre a potencial causa, que dentro dos cartórios poderão ser (não somente):

1. • Vazamento doloso causado por colaborador ou ex colaborador;

2. • Vazamento culposo causado por colaborador;

3. • Vazamento decorrente de acesso hacker;

4. • Vazamento decorrente de perda de backup em instrumento físico(pen drives, Hd's)

5. • Vazamento por compartilhamento de dispositivos telemáticos (smartfones, computadores, notebooks institucionais ou pessoais com acesso aos sistemas e redes do cartório);

6. • Vazamento ocasionado por Operadores dos Dados do Cartórios (Sistemas, Redes, Nuvens, Contabilidade, Prestadores de Serviços em Geral).

* Os exemplos acima não são taxativos, podendo as causas ser outras, variadas e conjuntas.

09.2.2. Contenção

Identificado o potencial de causa, devem ser adotadas medidas imediatas para mitigação dos eventuais danos.

Essas medidas dependerão de análise caso a caso, entretanto, via de regra devem ser:

1. • Se causada por colaborador: retirar-lhe o acesso à sistemas, banco de dados ou até mesmo as dependências físicas como arquivos ou demais locais de armazenamento de dados até que seja apurada sua conduta (dolosa ou culposa);

2. • Se causada por operador de dados: convocar reunião de urgência exigindo relatório do que foi vazado (item a item) e quais medidas de mitigação e segurança estão ou serão adotadas;

09.3. Análise, comunicados e ações

Promovida a classificação do vazamento e realizadas as medidas de sua contenção, deverá a Serventia, junto com seu Encarregado de Proteção de Dados quais deverão ser os próximos passos junto ao titular dos dados e autoridades de fiscalização, seguindo as seguintes recomendações:

1. • Potencial de Risco ao Usuário: Se o dado vazado puder colocar em risco o patrimônio, a honra, a imagem ou privacidade do usuário, deve a Serventia promover o seu imediato comunicado para que este também possa tomar as suas próprias medidas para evitar danos ou minimizá-los.

Por exemplo, no caso de um vazamento de imagem de assento digitalizado. O usuário (titular dos dados) deve ser comunicado para que possa tomar ciência e não ficar sujeito à fraudes por reconhecimentos promovidos por impostores.

Um outro exemplo é o caso do vazamento de requerimento com conteúdo sensível. A depender do caso, é possível ao titular tomar medidas judiciais para evitar a divulgação, pesquisas em sites e demais medidas de restrição contra potenciais terceiros que tentarem das publicidade e disseminação à informação.

2. • Volume: Se o vazamento se der em grande volume (vazamento total ou parcial de banco de dados), ainda que de baixo potencial lesivo ao titular, deve o responsável pela Serventia, além das medidas acima e constantes nesse relatório, promover comunicados à ANPD (Autoridade Nacional de Proteção de Dados) e à Corregedoria dando-lhes ciência do fato e das medidas que estão sendo adotadas, dentro do prazo máximo de 48 horas.

O comunicado deverá conter:

1. • Data e hora da detecção;

2. • Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros;

3. • Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;

4. • Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento;

5. • Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;

6. • Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;

7. • Resumo das medidas implementadas até o momento para controlar os possíveis danos;

8. • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

* Agir com transparência, além de uma exigência do Provimento, faz com que eventuais penalidades devam ser reduzidas ou não aplicadas. Se o conhecimento do vazamento ocorrer por outros meios, que não o da própria Serventia, ficará demonstrada a omissão por parte do responsável pela Serventia.

10. APROVAÇÃO DO RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS DA NOSSA SERVENTIA.

O presente RIPD buscou descrever os processos de tratamento de dados pessoais que podem gerar riscos e quais as medidas que nossa serventia adota para eliminar, reduzir ou amenizar tais riscos.

Diante disto, a fim de trazer maior segurança e efetividade ao presente RIPD, nossa serventia formaliza a aprovação deste documento através das assinaturas das seguintes pessoas:

1. • Encarregado de dados;

2. • Representante do Controlador;

No mais, diante da dinamicidade das relações sociais e formas de comunicação, além da inovação tecnológica, este relatório passar a ser avalidado continuamente sobre os riscos no tratamento de dados pessoais através da revisão deste RIPD anualmente ou sempre que surgir qualquer mudança significativa.