Independente da LGPD, cartórios já cumprem medidas de segurança da informação – empresas começam em 2021
Aprovada em 14 de agosto de 2018, com vigência inicialmente programada para iniciar em agosto de 2020, a Lei Geral de Proteção de Dados (LGPD – Lei n.º 13.709/18) foi alterada pela Medida Provisória n.º 959/2020 e agora a sua vigência está programada para iniciar em 03 de maio de 2021.
Embora a Medida tenha em vista as empresas brasileiras, que em sua maioria, não se prepararam para começar a cumprir a LGPD ainda em 2020, a situação um pouco é diferente para os cartórios, no que diz respeito às normativas sobre segurança da informação.
Desde o início de 2019, quando o Provimento nº 74/2018 do Conselho Nacional de Justiça (CNJ) entrou em vigor, os serviços notariais e de registro são obrigados a cumprir padrões mínimos de tecnologia e segurança da informação.
O Provimento tem um viés muito mais operacional, voltado à consecução da eficiência e continuidade da prestação dos serviços dos cartórios, enquanto a LGPD tem foco na proteção dos dados pessoais de consumidores e usuários do serviço público.
No entanto, ambos se alinham no que diz respeito à necessidade de haver padrões técnicos mínimos para promover a segurança da informação.
Aliás, na LGPD, o estabelecimento desses padrões ficou a cargo da Autoridade Nacional de Proteção de Dados (ANPD); e os artigos da LGPD que dispõem sobre a criação deste órgão são os únicos que se encontram em vigor, desde 28 de dezembro de 2018. No entanto, 1 ano e 6 meses depois, a ANPD ainda não foi criada.
De qualquer forma, nos cartórios brasileiros, as seguintes medidas já são uma realidade:
- obrigação de contar com um plano de continuidade para ser acionado em caso de ocorrências nocivas ao regular funcionamento dos serviços;
- obrigação de atender normas de interoperabilidade, legibilidade e recuperação de informações;
- arquivamento de livros e atos eletrônicos conforme medidas de garantia da segurança e a integridade de seu conteúdo, entre elas: obrigação de fazer backup (cópia de segurança), no mínimo, de 24 em 24 horas;
- certificação digital própria, ou biometria, para escreventes, prepostos, colaboradores e titulares dos cartórios;
- trilhas de auditoria própria para os sistemas de informática;
- entre outras.
Além destas medidas, o Anexo I do Provimento n.º 74 também traz uma série de pré-requisitos mínimos, separados conforme três classes de cartórios, sendo a classe 1: serventias com arrecadação de até R$ 100 mil por semestre; classe 2: serventias com arrecadação entre R$ 100 mil e R$ 500 mil por semestre; e classe 3: serventias com arrecadação acima de R$ 500 mil por semestre.
A classe 1 é a maior, correspondendo a 30,1% dos cartórios, conforme consta no próprio Provimento. Para ela, os requisitos são menores, em comparação às classes 2 e 3, no que diz respeito a requisitos como o mínimo de megabits exigido para o link de comunicação.
Outros pré-requisitos comuns para todas as classes de cartórios são:
- unidade de alimentação ininterrupta (nobreak) compatível com os servidores instalados, com autonomia de pelo menos 30 minutos;
- firewall;
- proxy;
- banco de dados;
- softwares antivírus;
- entre outros.
Como o próprio texto do Provimento aduz, estes são pré-requisitos mínimos, logo, os cartórios não devem se limitar a eles.
Acrescentamos que, entre outras normas de segurança da informação que podem ser adotadas pelos cartórios, estão as normas ISO 2700, que definem requisitos para implantação de um Sistema de Gestão de Segurança da Informação (SGSI); e outras medidas personalizadas de acordo com a estrutura, capacidade e demais particularidades de cada cartório. Essas medidas podem ser elaboradas e implantadas por profissionais especializados em segurança da informação.
Tais medidas podem ser emuladas por empresas e órgãos que estão em processo de planejamento e preparação para a entrada em vigor da LGPD.
Recomenda-se, inclusive, que se adiantem em buscar este planejamento, o qual deve envolver não apenas profissionais especializados em tecnologia e segurança da informação, como também, advogados capacitados para aplicação da LGPD e demais normas incidentes à realidade de cada empresa.
