Sumário.
1. Introdução.
2. O que é o “dever de diligência razoável”?
3. E o que muda com a LGPD?
1. Introdução
A entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe novas exigências para titulares de cartórios no que diz respeito ao cumprimento de suas atividades. Não se trata de alterar substancialmente o cotidiano da serventia, mas fazer adequações capazes de cumprir os deveres notariais e registrais e, ao mesmo tempo, garantir a privacidade das pessoas.
O grande desafio trazido pela LGPD, aliás, é compatibilizar a proteção de dados com as atividades corriqueiras do cartório, fazendo o mínimo possível de intervenções sem deixar de garantir os direitos dos titulares de dados pessoais. Sem esse cuidado, a implementação da LGPD pode, de um lado, acarretar o engessamento da atividade ou, de outro, não ser suficientemente efetiva para estar em conformidade.
Dentre estes desafios está o de cumprir o dever de “diligência razoável” previsto no Provimento nº 88/2019 de maneira adequada à LGPD. Pela sua importância, a coleta de dados para fins de contribuir com o combate à lavagem de dinheiro merece uma reflexão mais detida, o que se faz por meio deste breve artigo.
2. O que é o “dever de diligência razoável”?
O dever de diligência razoável é uma decorrência da previsão dos agentes delegados como pessoas obrigadas a contribuir com sistema antilavagem brasileiro, por meio de comunicações de operações suspeitas ao Conselho de Controle de Atividades Financeiras (COAF).
A diligência razoável decorre do dever geral de avaliar e detectar operações suspeitas, contemplado no art. 5º do Provimento 88, segundo o qual “Os notários e registradores devem avaliar a existência de suspeição nas operações ou propostas de operações de seus clientes”. Mais especificamente, o art. 7º do Provimento88:
Art. 7º As pessoas de que trata o art. 2º, sob a supervisão da Corregedoria Nacional de Justiça e das Corregedorias dos Tribunais de Justiça dos Estados e do Distrito Federal, devem estabelecer e implementar políticas de prevenção à lavagem de dinheiro e ao financiamento do terrorismo compatível com seu volume de operações e com seu porte, que devem abranger, no mínimo, procedimentos e controles destinados à:
I – realização de diligência razoável para a qualificação dos clientes, beneficiários finais e demais envolvidos nas operações que realizarem;
II – obtenção de informações sobre o propósito e a natureza da relação de negóciosnão só é lícito como é dever buscar outras fontes de informações, dentre as quais estão as fornecidas pelo usuário dos serviços.
Mesmo que a coleta seja mais cautelosa, em caso de dúvida é sempre melhor comunicar ao COAF as operações suspeitas. Tendo em vista “opção preferencial pela comunicação” do Provimento 88, a falta ao dever diligência razoável pode ser mais facilmente punida que eventual excesso nas comunicações, se elas forem de boa-fé.
3. E o que muda com a LGPD?
Como já se disse, a LGPD não existe para obstaculizar nenhuma atividade, mas apenas garantir os direitos dos titulares de dados. Operacionalmente, a coleta de dados para fins do Provimento 88 continua a ocorrer da mesma forma.
Mas então, o que muda?
Primeiramente, há a necessidade de proteger os dados pessoais por meio de medidas eficientes, para salvaguardá-los de qualquer incidente durante todo o seu ciclo de vida nos bancos de dados da serventia. Mesmo que a coleta seja legítima, ela corresponde a apenas uma das etapas do fluxo de vida dos dados no cartório. É preciso não apenas que a coleta seja legítima, mas todos os tratamentos que se seguirem (armazenamento, acesos, compartilhamento, eliminação, processamento etc.).
Apenas a implementação de um programa completo de adequação à LGPD pode cumprir esse dever. Isso, porém, é assunto para outra oportunidade.
Neste artigo, discute-se uma questão específica: a legitimação do tratamento. Essa legitimidade decorre do enquadramento do tratamento de dados dados em alguma das 10 bases legais de tratamento de dados previstas no art. 7º da LGPD (dados comuns) ou em uma das 8 bases legais previstas em seu art. 11 (dados sensíveis).
Observando a LGPD em cotejo com o Provimento 88, percebe-se que não há apenas uma base legal.
Se a coleta seja da informação for expressamente prevista no Provimento 88, não há dúvidas de que o enquadramento seja na base legal de cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II e art. 11, II, “g”, para dados comuns e sensíveis, respectivamente). É o caso, por exemplo, das previsões do art. 9º do Provimento 88.
Já o dever diligência “razoável”, previsto no art. 7º, I do Provimento 88, não delimita quais as informações deveriam ser coletadas, deixando um campo de discricionariedade para que o agente decida o que precisa ser coletado a fim de formar seu juízo a respeito da suspeita, ou não, da operação realizada.
Mesmo com essa abertura normativa, a princípio seria possível considerar esse tratamento como cumprimento de dever legal. Porém, fato é que o próprio Provimento 88 orienta no sentido de que a coleta deva se dar por meio do consentimento (art. 7º, I e art. 11, I da LGPD). Nesse sentido, veja-se o que diz a normativa:
Art. 7º (…) § 2º As pessoas de que trata o art. 2º, inciso III, deste Provimento cumprirão o disposto nos incisos I e II do caput deste artigo, por meio dos dados e informações constantes do título ou documento de dívida apresentado, ou de sua indicação, bem como dos dados fornecidos pelo apresentante, não podendo obstar a realização do ato ou exigir elementos não previstos nas leis que regulam a emissão e circulação dos títulos ou documentos em questão.
Como se vê na parte final do dispositivo acima mencionado, o delegatário não pode “obstar a realização do ato ou exigir elementos não previstos nas leis que regulam a emissão e circulação dos títulos ou documentos em questão”. E o art. 42 do Provimento 88 reforça: “não se negará a realização de um ato registral ou protesto por falta de elementos novos ou dados novos, estipulados no presente Provimento.”.
Ora, se o delegatário não pode “obrigar” a parte a ceder seus dados – por não poder obstaculizar o ato caso o titular não ceda o dado – a legitimidade da coleta de dados deve estar na concessão livre pelo titular dos dados. Ou seja, o tratamento precisa ocorrer sob consentimento: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 7º, XII, LGPD).
Diante disso, para haver legitimidade do tratamento em questão, recomenda-se que o consentimento seja pedido por escrito e de maneira apartada ao ato principal. Além disso, para cumprir o dever de informação, a pessoa deve ser informada a finalidade do tratamento (coleta de informações para detecção de operações suspeitas de lavagem de dinheiro). Nesse sentido, veja-se o que prescreve o art. 23 da LGPD:
Art. 23 O tratamento de dados pessoais pelas pessoas jurídicas de direito (…) deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
Todavia, é preciso fazer uma ressalva. Caso a pessoa não consinta em fornecer essas informações, essa resistência deve ser considerada, em si mesma, suspeita. Veja-se o que diz o Provimento 88:
Art. 20 Sem prejuízo dos indicativos específicos de cada uma das atividades previstas nos capítulos seguintes, podem configurar indícios da ocorrência de crimes de lavagem de dinheiro ou de financiamento do terrorismo, ou com ele relacionar-se: (…) VIII – a resistência, por parte do cliente e/ou dos demais envolvidos, no fornecimento de informações solicitadas para o registro da operação, bem como para o preenchimento dos cadastros
Entende-se, ademais, que a pessoa não deve ser informada de que a recusa em fornecer as informações será considerada uma atitude suspeita. Caso ela saiba isso, pode ser coagida a fornecer informações (invalidando o consentimento) ou mesmo em esconder os rastos do ilícito (inviabilizando o combate à lavagem de dinheiro).
João Rodrigo de Morais Stinghen – Advogado com experiência em direito notarial e registral. Consultor jurídico em privacidade e proteção de dados, certificado pela EXIN (PDPF). Autor de diversos artigos científicos nessas áreas. Bacharel em direito pela UFPR. Pós-graduando em direito digital e proteção de dados pela EBRADI. Membro dos comitês jurídico e de conteúdo da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD). Consultor em projetos de implementação da LGPD na empresa Privacidade Garantida. Fundador do Instituto de Compliance Notarial e Registral (ICNR), onde desenvolve eventos, cursos e treinamentos para cartórios.