´1º Ofício de Ponta Porã/MS

A presente política tem por escopo estabelecer os processos e rotinas para proteção de dados pessoais e informações sensíveis no âmbito do 1º Tabelionato de Notas e Registro de Títulos e Documentos e Civil de Pessoas Jurídicas de Ponta Porã/MS, com mecanismos preventivos de controle físico e lógico, com os objetivos de assegurar a proteção no tratamento de dados pessoais e a continuidade dos serviços prestados à população.
As diretrizes aqui trazidas deverão ser implementadas, monitoradas, analisadas criticamente sempre que necessário, bem como melhoradas continuamente, a fim de garantir o cumprimento dos objetivos de segurança da serventia.
Esta Política ficará disponível na sua integralidade e sempre em sua versão aprovada mais recente no site da serventia, bem como em cópia impressa junto ao Encarregado e foi formulada tendo como base os artigos 46 e seguintes da LGPD e princípios desta, além do artigo 12 do Provimento 134/2022 do CNJ e do Provimento 74/2018também do CNJ.
É de responsabilidade da alta administração da serventia o comprometimento com a melhoria contínua dos procedimentos relacionados com a segurança da informação.

DEFINIÇÕES

As definições pertinentes ao tema são encontradas no Manual da Gestão da Informação, sendo aqui reiterados.

Informação: todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa natural. Ela pode estar guardada para o uso restrito ou exposta ao público para consulta ou aquisição;
Informação sensível: toda informação sigilosa que, se divulgada, pode resultar em danos e/ou, prejuízos de qualquer ordem, perda de vantagem, inclusive financeira, bem como impacto negativo para a serventia e outras partas interessadas;
Ativos de informação: conjunto de informações, armazenado de modo que possa ser identificado e reconhecido como valioso para a organização e todo o recurso utilizado para o seu tratamento, tráfego e armazenamento;
Sistemas de informação: de maneira geral, são sistemas computacionais utilizados pela organização para suportar suas operações;
Dados pessoais: serão consideradas dados pessoais quaisquer informações que identifiquem ou que possam identificar uma pessoa natural (ex.: nome, RG, CPF, filiação, endereço, data de nascimento, hábitos e preferências, imagens de rosto, identificadores por via eletrônica, como endereço de IP, e-mail, cookies, etc.).
Os dados podem ser:
– Pessoais;
– Pessoais sensíveis: aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (faciais ou dactiloscópicos), sempre vinculados a uma pessoa natural. Recebem tratamento especial, por exporem o titular a maiores fiscos, incluindo discriminação e ameaças à segurança.
– Anonimizados: que não permitem identificar o seu titular (ou seja, são o oposto de dado pessoal; ex.: dados estatísticos e informações genéricas). Estão, em regra, fora do espoco de proteção da LGPD. Podem, contudo, ser considerados dados pessoas quando o processo de anonimização possa ser revertido.
– De crianças e adolescentes: também recebem tratamento especial, em razão dos riscos e consequências mais gravosas a este grupo peculiar de pessoas. A finalidade do tratamento deve levar em consideração o melhor interesse das crianças e adolescentes e deverá contar com consentimento específico, e em destaque, dado por, pelo menos, um dos pais ou pelo responsável legal.

PRIVACIDADE

A serventia respeita o direito à privacidade e visa o melhor uso da tecnologia da informação para a satisfação de seus clientes e da sociedade, e a sustentabilidade e autonomia empresarial, garantindo a estabilidade e a continuidade de seus serviços.
Considera-se privacidade, para os fins desta Política, o atributo de certeza por parte do cliente, do usuário e das demais partes interessadas em relação: a) à forma como os serviços, os sistemas, os processos e as pessoas do quadro de profissionais da serventia atuam e se comportam em relação a esses agentes; e b) à razoável expectativa de discrição e de preservação de seus interesses e informações de qualquer natureza.
Excluem-se do conceito de privacidade a informação:
A) pública por determinação legal;
B) pública para o tratamento e uso compartilhado de dados de execução de políticas públicas;
C) objeto de decisão judicial transitada em julgado, pela divulgação ou exibição damesma;
D) ostensiva com dever de segurança ativa;
E) ostensiva com dever de segurança passiva;
F) já dada, por outros meios, ao conhecimento público;
G) necessária à proteção da vida ou da incolumidade física de pessoas;
H) necessária à tutela da saúde;
I) gerida no âmbito da relação de trabalho entre a serventia e seus colaboradores; e
J) dados cadastrais necessários à legítima atuação da serventia em atendimento à sua missão institucional.

PRINCÍPIOS PARA PROTEÇÃO DE DADOS PESSOAIS

Constituem princípios para o adequado tratamento de dados pessoais, devidamente elencados no Manual da Gestão da Informação da Serventia:
1) Finalidade: o tratamento deve ser realizado para cumprir finalidade específica e legítima, a qual deverá ser informada ao titular antes do início do tratamento, e pautará todo o tratamento.
2) Adequação: o tratamento deve ser compatível com a finalidade informada ao titular, evitando-se o desvio de finalidade.
3) Necessidade: o tratamento deverá abranger somente os dados necessários para alcançar a finalidade informada.
4) Livre Acesso: garantia, aos titulares, de consulta gratuita sobre a forma e a duração do tratamento, bem como a integralidade de seus dados pessoais.
5) Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre como é realizado o tratamento de dados pessoais. Deverá ser garantido acesso direito ao encarregado ou tabelião para eventuais reclamações.
6) Segurança: devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais, evitando acessos não autorizados e destruição, perda, alteração, comunicação ou difusão.
7) Prevenção: devem ser adotadas medidas para evitar a ocorrência de danos aos titulares em virtude do tratamento de dados pessoais, atendendo-se integralmente ao Provimento 74/2018 do CNJ e instituindo o presente manual da gestão da informação com regras restritivas ao acesso de dados.
8) Qualidade dos dados: os dados devem ser exatos, claros e adequados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento, para que sejam fiéis à realidade, sem erros ou equívocos.
9) Não discriminação: o tratamento de dados não pode ter fins discriminatórios, ilícitos ou abusivos.
10) Responsabilização e prestação de contas: devem ser adotadas medidas de proteção de dados eficazes e de acordo com as normas de proteção de dados pessoais, de modo a garantir-se que se possa prestar contas das medidas de adequação adotadas. Todas as atividades desenvolvidas na estrutura de tratamento de dados (ex.: treinamentos, mapeamento de riscos, contratos de trabalho, política de proteção à privacidade, etc.) devem ser documentadas, de modo a prestar contas de que há uma intenção explícita e efetiva de conformidade legal.

CUIDADOS NO TRATAMENTO DE DADOS PESSOAIS

Esta serventia, em atendimento e respeito à Lei Geral de Proteção de Dados Pessoais e às boas práticas de segurança da informação, garante a disponibilidade, integridade e confidencialidade dos dados pessoais, em todo seuciclo de vida, sendo esta categoria de dados tratada em conformidade com requisitos normativos internos e externos.
Dados extrajudiciais estão, ainda, sujeitos às disposições do Provimento nº 50/2015 do CNJ que dispõe sobre aconservação de documentos (Temporalidade), bem como sujeitam-se às disposições do Provimento nº 74/2018 doCNJ que trata sobre os requisitos de tecnologia da informação (Ativos de TI) das serventias extrajudiciais, normativas estas integralmente observadas e atendidas.
Para tal finalidade, são adotadas as seguintes providências:
1)A serventia possui um encarregado (DPO) pela proteção de dados pessoais e privacidade.
2) A serventia publica as informações do encarregadono seu website, relatórios, campanhas informativas em relação à Lei Geral de Proteção de Dados e nos meios de comunicação.
3) Para todos os ativos de informação que contenham dados pessoais são observados os seguintes cuidados:
3.1 Armazenamento em lugar seguro e adequado, de acordo com as melhores práticas de segurança da informação, protegido contra o acesso de pessoasnão autorizadas;
3.2Verificação do tempo de retenção e manipulação dos dados pessoais e informações sensíveis e seu descarte assim que sua utilidade atender os fins de destino;
3.3Atualização e/ou exclusão dos dados pessoais, quando solicitado pelos titulares dos direitos dos dados pessoais, através dos canais de comunicação, portais de internet e/ou plataformas sistêmicas;
3.4Utilização de recursos autorizados para garantir o compartilhamento seguro da informação quando for necessário;
3.5 A pessoa que recebe indevidamente uma informação deve procurar imediatamente o remetente e alertá-lo sobreo equívoco;
3.6 As informações disponíveis na Internet somente serão acessadas para fins de execução das atividades de interesse exclusivo da serventia;
3.7 Toda informação em papel, mídia removível ou qualquer outro meio de armazenamento deve ser destruída após ouso, ou guardada de forma a não estar disponível para pessoas não autorizadas;
3.8 As manutenções em equipamentos que armazenem informações devem ser acompanhadas por um representanteda área sempre que esse equipamento estiver em uso ou logado com a credencial do colaborador que necessita dosuporte.
4) Documentação:
A serventia possui Mapeamento de Dados Pessoais coletados, além deRelatório de Impacto, descrevendo os processos e procedimentos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Há no âmbito da Serventia um Manual da Gestão da Informação, que congrega as diretrizes para Gestão da Tecnologia da Informação, Gestão da Segurança da Informação e para implementação da Lei Geral de Proteção de Dados.
Ainda, há estabelecido Plano de Continuidade de Negócios para área da segurança da informação e Plano de Resposta à Violação de Dados.
5) Retenção e/ou guarda para fins legais:
Todos os dados processados pela serventia são feitos dentro das seguintes bases legais: consentimento, obrigação contratual, obrigações legais, interesses essenciais, tarefas ou atividades públicas ou interesses legitimamente justificados e identificados.
A serventia realiza a classificação da base legal apropriada nos sistemas de controles e registros de dados.
Quando o consentimento for designado como uma base legal para o processamento de dados, a evidência do consentimento dado pelo titular é mantida com os dados pessoais.
Quando atividades e/ou campanhas de comunicação com os titulares forem enviadas com base em seu consentimento, a opção para o titular revogar o seu consentimento deve estar claramente disponível e os sistemas devem estar em pleno funcionamento garantindo que essa revogação seja refletida com precisão nos sistemas da serventia.
Existindo o compartilhamento de informações privadas, pessoais e/ou sensíveis com terceiros, os contratos devem ser revisados para garantir a sua conformidade com a LGPD.
Os titulares dos dados possuem o direito de acessar os seus dados pessoais e quaisquer pedidos feitos à serventia, devem ser tratados em tempo hábil às necessidades do titular.
6) Minimização de dados:
A serventia busca garantir que os dados pessoais sejam limitados ao que é necessário e para os fins aos quais são processados.
7) Precisão:
A serventia adota medidas razoáveis para garantir que os dados pessoais sejam precisos e atualizados.
8) Segurança:
A serventia se compromete a garantir que os dados pessoais sejam armazenados de forma segura, usando softwares e ferramentas confiáveis e atuais.
O acesso aos dados pessoais deve estar limitado aos funcionários autorizados e os sistemas, controles, normas e procedimentos de segurança de dados pessoais devem estar em vigor, evitando-se o compartilhamento não autorizado de informações.
Os dados pessoais devem ser excluídos de forma segura, impossibilitando recuperação desautorizada.
Todas as condutas atinentes à segurança da informação estão contidas no Manual da Gestão da Informação.
9) Criptografia e anonimização:
Sempre que possível e a legislação admitir, os dados pessoais devem ser anonimizados, impossibilitando a identificação do titular.
10) Evidência digital:
Os funcionários e usuários autorizados para o processamento de dados pessoais da serventia devem coletar evidências em casos de violação de dados pessoais, além de informar ao encarregado sempre que necessário.
11) Licitude, lealdade e transparência:
Os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados.
12) Limitação das finalidades:
Os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de uma forma incompatível com essas finalidades.
13) Em conformidade com o Provimento nº 74/2018 do CNJ, esta serventia conta com (conforme descrito no Manual da Gestão da Informação):
13.1 Plano de continuidade para eventuais incidentes de segurança, que atenda às normas de interoperabilidade,legibilidade e recuperação de informações (art. 2º, parágrafo único), bem como medidas que possibilitem atransmissão facilitada do acervo, em caso de sucessão (art. 7º).
13.2 Padrões mínimos de segurança e integridade para armazenamento de dados, com backups em nuvem ebackups físicos de periodicidade máxima de 24 horas e hospedagem em local distinto da instalação daserventia (art. 3º).
13.3 Sistema escalas de permissões seccionados por função, associados a perfis individuais, cujo acesso deveocorrer com dupla autenticação: por usuário e senha e por certificação digital ou biometria (art. 4º).
13.4 Trilhas de auditoria que permitem rastrear e identificar acessos ou modificações, as quais devem ser preservadas por backup (art. 5º).
13.5 Também, em conformidade com a classe desta serventia, atendemos o Provimento 74/2018 do CNJ no que concerne à adoção de tecnologias obrigatórias.
14) Por sua vez, atendendo à LGPD (artigos 46 a 49) e Provimento 134/2022 do CNJ, esta serventia adotou comocritérios para a construção desta política de segurança da informação:
14.1 Medidas de segurança técnicas e organizacionais;
14.2 Previsão de adoção de mecanismos de segurança, desde a concepção de novos produtos os serviços (security by design);
14.3 Plano de resposta a incidentes;
14.4 Avaliação dos sistemas e banco de dados em que houver tratamento de dados pessoais e/ou tratamento de dados sensíveis, submetendo tais resultados à ciência do Encarregado pelo tratamento de dados pela serventia;
14.5 Avaliação da segurança de integrações de sistemas;
14.6 Análise de segurança das hipóteses de compartilhamento de dados pessoais com terceiros; e
14.7 Realização de treinamentos.
15) Classificação da informação:
A Serventia possui política de classificação da informação definida no Manual da Gestão da Informação.
16) Acesso à informação:
O acesso à informação é controlado através de procedimentos padronizados para a liberação e/ou exclusão dosacessos, conforme demandas dos processos operacionais internos. O acesso e o uso dos sistemas de informação,diretórios de rede, bancos de dados e demais recursos são restritos a pessoas explicitamente autorizadas e deacordo com a necessidade para o cumprimento de suas funções.
Os colaboradores da serventia são totalmenteresponsáveis pela posse e utilização de suas senhas, bem como pelas ações daí decorrentes.
O acesso externo aos sistemas da organização, quando realizado pelo pessoal da área de suporte técnico ou porprestadores de serviço, é controlado e restrito aos serviços estritamente necessários, devendo ser mantidas trilhasde utilização.
17) Sistemas e recursos de rede:
Sistemas e recursos de rede desenvolvidos fora da serventia, de propriedade de terceiros (com licença de uso paraa organização), devem ter a biblioteca de fontes e de recursos adicionais (bibliotecas adquiridas, componentes, etc.)sob custódia de uma entidade idônea, de comum acordo entre a organização e a empresa fornecedora do software.
Tais fontes devem sempre ser atualizadas e verificadas quanto à sua validade e sincronização com a versão em usono ambiente de operações.
É terminantemente proibido o uso de programas ilegais (software pirata). Os usuários não podem, em hipótesealguma, instalar este tipo de programa nos equipamentos da serventia. Periodicamente, o pessoal da área de suporte técnico interno ou prestador de serviço fará verificações nos dados dos servidores e/ou nos computadoresdos usuários, visando garantir a correta aplicação desta diretriz.
18)Security by Design:
Toda e qualquer alteração ou criação de sistemas, serviços ou produtos que envolvam tratamento de dados pessoais deverão aplicar o Security by Design. O que implica em ter a privacidade e a segurança dos dados pessoais comoparte integrante das prioridades, projetos, objetivos, operações e planejamentos da serventia, segundo os seusprincípios.
19) Plano de continuidade do negócio:
A Serventia possui Plano de Continuidade de Negócios definida, na forma do art. 2º, parágrafo único, I e art. 7º, ambos do Provimento 74/2018 CNJ, tendo como meta garantir a disponibilidade do ambiente emcaso de incidente. Esta serventia e seus responsáveis se mantêm continuamente atentos à identificação do que nãopode parar, implementando ferramentas para que os serviços continuem funcionando mesmo após um incidente,de acordo com as normas de segurança e a privacidade dos dados pessoais.
20) Dados dos funcionários:
A serventia se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários, alémdaqueles relevantes na condução do seu negócio. Todos os dados pessoais de colaboradores serão consideradosconfidenciais.
Cabe à gestão de Recursos Humanos colher e arquivar a assinatura do Termo de Responsabilidade e Ciência daPolítica e Normas de Segurança da Informação, tanto na fase de contratação dos funcionários, prestadores de serviços, estagiários e afins, quanto dos profissionais já contratados.

PAPÉIS E RESPONSABILIDADES

As responsabilidades e competências em matéria de processamento adequado de dados pessoais está prevista no Manual da Gestão da Informação, cuja observância compete a todos que trabalham para a serventia e que têm acesso a dados pessoais processados pelo cartório.
Compete ao setor de TI – Infraestrutura e Sistema: garantir que todos os sistemas, serviços e equipamentos usados para armazenar dados pessoais atendam a padrões de segurança aceitáveis; realizar verificações regulares para garantir que os equipamentos e os programas de segurança estejam funcionando adequadamente.
As infrações a esta Política de Privacidade e Proteção de Dados e às Normas de Segurança da Informação serão passíveis de processo disciplinar, podendoresultar de mera advertência até demissão por justa causa. A qualquer tempo, e em qualquer um dos casos previstos,prevalecendo o descumprimento das regras expostas, a serventia poderá bloquear temporariamente o acesso dousuário e comunicar os motivos ao profissional e ao gestor da área.
O uso de qualquer recurso da serventia para atividades ilegais é motivo de demissão por justa causa e a instituiçãovai cooperar ativamente com as autoridades.
Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna desta serventia. Esta política deve ser revista e atualizada em intervalos não superiores a 2 (dois) anos, a fim de garantir que todos os requisitos de segurança técnicos e legais implementados sejam cumpridos e atualizados nos termos da legislação de regência, e entrará em vigor na presente data.

política de privacidade e proteção de dados

APLICAÇÃO

DEFINIÇÕES