Politica de Proteção a Dados Pessoais e Privacidade

Objetivo

Estabelecer diretrizes e orientações para o tratamento de dados pessoais, com o objetivo de proteger a privacidade dos usuários do serviço, empregados, parceiros ou fornecedores visando à gestão de dados pessoais e à gestão de incidentes de Segurança da Informação no ambiente convencional ou de tecnologia do Tabelionato.

Referências

• Lei nº. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) – Dispõe sobre a proteção de dados pessoais e altera a Lei nº. 12.965/2014.
• Lei nº. 13.853/2019 - Altera a Lei nº 13.709/2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados (ANPD).
• Lei nº. 12.965/2014 - Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil (Marco Civil da Internet).
• PROVIMENTO CGJ Nº 23/2020 - Dispõe sobre o tratamento e proteção de dados pessoais pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro de que trata o art. 236 da Constituição da República e acrescenta os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça.

Princípios

FINALIDADE: realização do tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

ADEQUAÇÃO: compatibilidade do tratamento de dados com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados informadas.

QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

TRANSPARÊNCIA: garantia aos titulares de dados, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e seus respectivos agentes de tratamento, observados os ditames legais e normativos acerca da expedição de certidões.

SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento de dados para fins discriminatórios ilícitos ou abusivos.

Diretrizes

4.1 Público alvo

Esta política deve ser aplicada a todos os colaboradores do Tabelionato e empresas terceirizadas que realizem atividades que envolvam, de forma direta ou indireta, tratamento de dados pessoais.

4.2 Base legal de tratamento de dados

O tratamento de dados pessoais, ou seja, a realização de coleta, acesso, exclusão, edição, ou qualquer outra operação, somente deve ser realizada dentro de uma das bases legais dispostas na Lei Geral de Proteção de Dados Pessoais (LGPD) - Artigo 7º, incisos II e X da LGPD.

4.3 Coleta mínima de dados e Consentimento

Os processos que envolvam coleta de dados pessoais são feitos pelo tabelionato com base no conceito de coleta mínima, com finalidades específicas, dispensado o respectivo consentimento do titular, nos termos do artigo 7º, incisos II e X, da LGPD.

4.4 Dispensa de consentimento

No momento da coleta, o titular do dado pessoal é informado de forma clara e explícita sobre a finalidade, a natureza obrigatória do fornecimento, e sobre as consequências da negativa em fornecê-los (impossibilidade de realização do serviço).

4.5 Gestão de instrumentos contratuais

Os contratos, convênios e demais instrumentos contratuais relacionados a atividades que envolvam tratamento de dados pessoais, devem prever de forma explícita a responsabilidade do correto tratamento de dados por parte de terceiros, bem como garantir a realização de diligências, com previsão de “direito de regresso” do Tabelionato em caso de descumprimento da outra parte (ainda em implantação).

4.6 Gestão de Incidentes

Serão elaboradas pelo Tabelionato os procedimentos e planos de resposta a eventuais incidentes relacionados à privacidade de titulares de dados, a partir de critérios de controle e registro de vazamentos, bem como comunicação aos envolvidos e à Autoridade Nacional de Proteção a Dados.

4.7 Segurança da Informação

As medidas contra vazamento de dados, bem como investimentos em ferramentas e processos de segurança, devem priorizar a proteção de dados pessoais tratados pela serventia.

4.8 Inventário de dados

O inventário de dados pessoais no Tabelionato é mantido permanentemente atualizado, identificando os tipos documentais e as informações que os contêm, visando seu tratamento em acordo com a respectiva base legal, com adoção do conceito de coleta mínima.

O inventário é realizado de modo físico e virtual, através dos softwares especializados, considerando o contexto de produção ou acúmulo dos documentos e informações.

4.9 Governança de privacidade e dados pessoais

O Programa de Governança em Privacidade do Tabelionato (em elaboração) deverá ter por objetivo o estabelecimento de relação de confiança com os titulares de dados pessoais, por meio de atuação transparente, com monitoramento contínuo e avaliações periódicas integradas a sua estrutura geral de governança, deverão ser processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais.

4.10 Capacitação e conscientização

Devem ser promovidas, de forma continuada, ações educacionais, de capacitação, sensibilização e conscientização sobre as melhores práticas acerca do tratamento de dados pessoais para todos os colaboradores do Tabelionato, bem como a ampla divulgação dos riscos e ameaças da não utilização dessas práticas.

4.11 Navegação na web e cookies

O Tabelionato poderá, para atender à finalidade da prestação do serviço notarial, na persecução do interesse público, e com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas do serviço público delegado, utilizar-se de cookies e tecnologias semelhantes, visando o melhor atendimento dos usuários, mediante informação de quais páginas e conteúdos dos sites foram visitados.

4.12 Sistemas de Tecnologia de Informação

Os sistemas de Tecnologia da Informação de suporte a processos e atividades que envolvam tratamento de dados pessoais que forem desenvolvidos ou contratados pelo Tabelionato, deverão seguir o conceito de Privacy by Design.

4.13 Metodologia de Fluxo de Serviços

A metodologia e a gestão dos fluxos de serviços desempenhados pelo Tabelionato deverão considerar o conceito de Privacy by Design, visando evitar o surgimento de novos processos, atividades, sistemas, práticas, serviços ou qualquer outra solução que não esteja aderente à LGPD.

Os sistemas de Tecnologia da Informação de suporte a processos e atividades que envolvam tratamento de dados pessoais que forem desenvolvidos ou contratados pelo Tabelionato, deverão seguir o conceito de Privacy by Design. Portanto, sua aderência à LGPD e a esta Política devem ser observadas desde sua concepção/contratação.

4.14 Atendimento a Requerimentos do Titular de Dados Pessoais - (Data Subject Request – DSR)

O Tabelionato deverá desenvolver mecanismos para atendimento aos direitos dos titulares de dados previstos na LGPD, com destaque para confirmação e acesso a dados, retificação, restrição de tratamento, e eventual exclusão de dados, sempre observando os ditames legais e normativos, notadamente quanto à expedição de certidões.

O Tabelião receberá, preferencialmente pelos canais oficiais, os requerimentos dos titulares de dados pessoais, apoiando, no que couber, o Encarregado pelo Tratamento de Dados Pessoais (DPO).

Responsabilidades

Tabelião – Aprovar esta Política e deliberar sobre as diretrizes estratégicas de segurança da informação, norteando todo o processo no Tabelião de Notas e Protesto e Letras e Títulos de Ribeirão Pires-SP .

Área responsável pela Qualidade no Tabelionato – Apoiar o encarregado pelo tratamento de dados pessoais em suas atribuições.

Coordenar e apoiar metodologicamente a organização da documentação relativa à LGPD, dentro do Sistema de Gestão da Qualidade – SGQ.

Encarregado pelo Tratamento dos Dados Pessoais – Responsável pela interlocução junto aos titulares de dados e junto à Autoridade Nacional de Proteção de Dados – ANPD, incluindo reporte de incidentes, orientando colaboradores e terceiros a respeito das práticas relativas à proteção de dados pessoais e privacidade.

Gestores de cada setor (Notas, Firma, Protesto e ADM) – Zelar pelas informações produzidas e recebidas por sua equipe em razão das atividades desenvolvidas, realizando e monitorando o inventário de dados sob sua responsabilidade, sua adequada classificação e autorização de acesso, bem como o mapeamento, implantação e operacionalização de seus controles, fazendo cumprir as diretrizes desta política.

Colaboradores – Cumprir esta política e os demais instrumentos que a regulamentam, utilizando do uso de forma responsável, profissional, ética e legal as informações corporativas que contenham dados pessoais, respeitando os direitos e a privacidade dos titulares dos dados.

Área de gestão de pessoas – Promover ações de treinamento e desenvolvimento referentes à proteção de dados pessoais e privacidade, incluindo aspectos técnicos, normativos e comportamentais.

Conceitos

1. Controlador: Pessoa que tem competência para tomar decisões referentes ao tratamento de dados pessoais (Tabelião)
2. Códigos maliciosos: é qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;
3. Cookies: são pequenos arquivos que as páginas web acessadas armazenam nos navegadores como, por exemplo, quantos acessos foram realizados àquela página, entre outras.
4. Internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;
5. Sítios e aplicativos: sítios e aplicativos por meio dos quais o usuário acessa os serviços e conteúdos disponibilizados;
6. Terceiro: Pessoa ou entidade que não participa diretamente do quadro de colaboradores da serventia, mas que, de alguma forma, participam do tratamento de dados pessoais.
7. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
8. Usuários (ou "Usuário", quando individualmente considerado): todas as pessoas naturais que utilizarem os serviços do Tabelionato .
9. Autoridade Nacional de Proteção de Dados (ANPD): Órgão da administração pública responsável por zelar, implantar e fiscalizar o cumprimento da LGDP.
10. Coleta Mínima - Conceito derivado do princípio da finalidade, que define que a coleta de dados só pode ser realizada com finalidade específica e esta deve ser informada aos titulares previamente. Desse princípio, resulta o da minimização da coleta. Ou seja, a coleta se restringe aos dados necessários para atingir ao fim específico.
11. Dado pessoal - Informação relacionada à pessoa natural identificada ou identificável, que a identifique ou possa identificar, tais como nome, números, códigos de identificação, telefones, endereços.
12. Dado pessoal sensível - Dado cujo tratamento pode ensejar a discriminação do seu titular. Diz respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
13. Encarregado pelo Tratamento dos Dados Pessoais (Data Protection Officer –DPO) - Profissional indicado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados
14. Operador - Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
15. Privacidade desde a concepção (Privacy by Design) - Metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.
16. Relatório de impacto à proteção de dados pessoais (Data Protection Impact Assessment - DPIA) - Documentação do controlador que contém o detalhamento de todos os processos de tratamento pelos quais os dados pessoais passam durante o seu ciclo de vida na operação, assim como as bases legais necessárias e as medidas de segurança adotadas no tratamento desses dados, bem como as medidas, salvaguardas e mecanismos de mitigação de risco.
17. Titular de dados pessoais - Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
18. Tratamento de dados pessoais - Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.

Disposições Gerais

O presente documento deve ser lido e considerado em conjunto com outros padrões, normas e procedimentos aplicáveis e relevantes adotados pelo Tabelionato.

Além disso, esta política deve ser desdobrada em outros documentos normativos específicos, sempre alinhados às diretrizes e princípios aqui estabelecidos.

As diretrizes aqui estabelecidas devem nortear a atuação, destacadamente, das áreas responsáveis pela tecnologia da informação, gestão de pessoas, suprimentos, gestão documental e segurança da informação do Tabelionato, contribuindo para uma visão única e integrada.

Deve ser assegurado pelo Tabelionato que esta política e seus documentos normativos complementares sejam amplamente divulgados aos seus colaboradores, visando a sua disponibilidade para todos que se relacionam com a organização e que, direta ou indiretamente, são impactados.