Legislação

- Cabe ao responsável pelas serventias implementar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e dos seguintes da LGPD, por meio de: [[Lei 13.709/2018, art. 46.]]

I - elaboração de política de segurança da informação que contenha:

a) medidas de segurança técnicas e organizacionais;

b) previsão de adoção de mecanismos de segurança, desde a concepção de novos produtos ou serviços (security by design) (art. 46, § 1º, da LGPD); e [[Lei 13.709/2018, art. 46.]]

c) plano de resposta a incidentes (art. 48 da LGPD). [[Lei 13.709/2018, art. 48.]]

II - avaliação dos sistemas e dos bancos de dados em que houver tratamento de dados pessoais e/ou tratamento de dados sensíveis, submetendo tais resultados à ciência do encarregado pelo tratamento de dados pessoais da serventia;

III - avaliação da segurança de integrações de sistemas;

IV - análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros; e

V - realização de treinamentos.

- O plano de resposta a incidentes de segurança envolvendo dados pessoais deverá prever a comunicação, pelos responsáveis por serventias extrajudiciais, ao titular, à Autoridade Nacional de Proteção de Dados (ANPD), ao juiz corregedor permanente e à Corregedoria-Geral da Justiça (CGJ), no prazo máximo de 48 horas úteis, contados a partir do seu conhecimento, de incidente que possa acarretar risco ou dano relevante aos titulares, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.

- A inutilização e a eliminação de documentos em conformidade com a Tabela de Temporalidade de Documentos prevista na Seção I do Capítulo I do Título II do Livro III da Parte Geral deste Código Nacional de Normas, da Corregedoria-Nacional de Justiça, serão promovidas de forma a impedir a identificação dos dados pessoais neles contidos.

Parágrafo único - A inutilização e a eliminação de documentos não afastam os deveres previstos na Lei 13.709, de 14/08/2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo de conservação adotado na unidade dos serviços extrajudiciais de notas e de registro.

- O responsável pela serventia extrajudicial, sempre que possível:

I - digitalizará os documentos físicos ainda utilizados; e

II - armazenará os documentos físicos que contenham dados pessoais e dados pessoais sensíveis em salas ou compartimentos com controle de acesso.

Parágrafo único - Após a digitalização, o documento físico poderá ser eliminado, respeitados as disposições e os prazos definidos na Seção I do Capítulo I do Título II do Livro III da Parte Geral deste Código de Normas, da Corregedoria Nacional de Justiça.

I - capacitar todos os trabalhadores da serventia a respeito dos procedimentos de tratamento de dados pessoais;

II - realizar treinamentos com todos os novos trabalhadores;

III - manter treinamentos regulares, de forma a reciclar o conhecimento sobre o assunto e atualizar os procedimentos adotados, sempre que necessário;

IV - organizar, por meio do encarregado e eventual equipe de apoio, programa de conscientização a respeito dos procedimentos de tratamento de dados, que deverá atingir todos os trabalhadores; e

V - manter os comprovantes da participação em cursos, conferências, seminários ou qualquer modo de treinamento proporcionado pelo controlador aos operadores e ao encarregado, com indicação do conteúdo das orientações transmitidas.

Parágrafo único - O responsável pela serventia extrajudicial poderá solicitar apoio à entidade de classe para capacitação de seus prepostos.