Política de Privacidade
4.4.2. Política de Privacidade
O documento apto a registrar todas as regras estabelecidas no Programa de Governança em Privacidade é a Política de Privacidade, prevista no art. 50, Lei Geral de Proteção de Dados. É importante que as regras da Governança em Privacidade estejam devidamente documentadas em uma Política de Privacidade, primeiramente em observância ao princípio da responsabilização e prestação de contas (art. 6º, X, LGPD). É por meio da referida documentação que o Registro Público conseguirá comprovar a observância de regras em conformidade com a Lei Geral de Proteção de Dados.
Em um segundo momento, caso haja violação de dados, a adoção de política de boas práticas e governança é considerada como “parâmetro e critério” na aplicação de sanções administrativas (art. 52, §1º, IX). Deve-se ressaltar nesse ponto, a lógica de que está imbuída a mitigação da penalidade nesse caso. Embora os incidentes que mais obtenham atenção sejam os incidentes de segurança (como invasões de terceiros por vulnerabilidades sistêmicas ou disponibilizações indevidas e massivas de dados pessoais), o que a Lei Geral de Proteção de Dados penaliza não é o incidente em si, mas a violação à lei da qual ele decorre. É nesse sentido que o art. 43, II estabelece que os agentes não serão responsabilizados “embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, [se] não houve violação à legislação de proteção de dados”. Assim, por um lado, se em caso de dano a outrem, irá se buscar qual norma de proteção de dados possa ter sido descumprida; por outro, a comprovação dos esforções de conformidade e de atuação para conter impactos do incidente de segurança mitiga a responsabilização tanto na esfera administrativa (art. 52, §1º, IX) como na esfera judicial (art. 43, II).
A Política de Privacidade deve ser adequada à realidade de cada Registro Público, mas existem alguns parâmetros internacionais que podem auxiliar em sua elaboração, notadamente no que tange às medidas de segurança técnicas e administrativas. Um deles é o da ISO 27701:2019, elaborada para a adequação ao Regulamento Geral sobre Proteção de Dados (GDPR, em inglês) e que pode servir como um início para elaboração de uma Política adequada à Lei Geral de Proteção de Dados, haja vista as diferenças especialmente sobre direitos dos titulares e obrigações contratuais. Importante notar que a referida norma ISO 27701 é estruturada de forma a complementar uma Política de Segurança da Informação já estabelecida, cujas referências são as normas ISO 27001 e 27002. Uma Política de Segurança da Informação tem como objetivo a garantia da disponibilidade, integridade e confidencialidade dos ativos de informação de dada organização. Nesse sentido, ela é mais ampla que a Política de Privacidade, que tem como objetivo essa garantia voltada exclusivamente aos dados pessoais. Assim, enquanto a Política de Segurança da Informação tem como objetivo a proteção dos ativos de informação, genericamente, para a preservar a continuidade do negócio, a Política de Privacidade tem como objetivo a garantia da proteção de dados pessoais aos titulares.
Evidentemente, essas regras abrangem o ambiente lógico dos Registros de Imóveis e por isso devem ser as mesmas para todos eles, é dizer, devem ser universalizadas tanto em razão de sua interoperabilidade como em razão da manutenção de nível adequado de proteção de dados pessoais em todas as Serventias. Seria recomendável a adoção de uma Política Geral de Proteção de Dados, no âmbito do ONR, aplicável a todas as Serventias, com a possibilidade de adaptações e complementações na políticas de privacidade em cada Serventia.
← Sumário | Próximo tópico →
NEAR-lab 