São princípios para o Sistema de Gestão de Segurança da Informação a Confidencialidade, a Integridade e a Disponibilidade, conforme norma de mercado para a Segurança da Informação (NBR/ISO 27001-2022). Esses devem ser preservados, controlados e auditados para garantir que as informações estejam protegidas.

Esta Política de Segurança da Informação (PSI), em conjunto com as Políticas Complementares (PC), tem como objetivo estabelecer as diretrizes e critérios para orientar os colaboradores, clientes/associados, parceiros de negócios e fornecedores sobre as melhores práticas a serem adotadas para garantir o atendimento das normas da Segurança da Informação e proteção de dados no ambiente do OFÍCIO DE REGISTRO DE IMÓVEIS DA COMARCA DE ITAPAGIPE, doravante denominado apenas como SERVENTIA.
A presente PSI visa assegurar:

• A confiabilidade das informações e dados pessoais por meio da preservação da confidencialidade, integridade e disponibilidade dos dados;
• O compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda;
• A participação e o cumprimento das medidas protetivas por todos os colaboradores, clientes/associados, parceiros de negócios e fornecedores em todos os processos que tratem informações;
• A definição dos princípios e diretrizes gerais que visam a preservação da segurança da informação e da proteção de dados pessoais, primando pela legalidade dos processos que amparam a operacionalização e a gestão das atividades;
• O estabelecimento das responsabilidades e limites de atuação da alta direção, colaboradores, prestadores de serviços e parceiros em relação à segurança da informação e proteção de dados pessoais reforçando uma cultura interna entre os envolvidos baseada em integridade e confidencialidade.

Esta política se aplica a todos aqueles que exerçam, ainda que transitoriamente, acesso às informações e processos de negócios da serventia.

Esta PSI é um documento com valor jurídico e aplicabilidade imediata e indistinta, a partir da sua publicação, a: alta direção colaboradores, clientes/associados, parceiros de negócios e fornecedores da serventia.

Para melhor interpretação da presente PSI consideram-se:

• Usuários: todos os envolvidos, independente de cargo ocupado, no manuseio da informação durante as suas atividades diárias;
• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Informação: qualquer conteúdo que tenha ou traga valor para a serventia ou ao profissional para que alcance seu objetivo;
• Risco: estabelece a relação entre probabilidade e impacto em uma determinada situação ou atividade. Essa análise possibilitar determinar como devem ser os investimentos em segurança da informação;
• Ameaça: elemento externo ou interno capaz de explorar vulnerabilidades existentes no ambiente da serventia, o qual pode ocasionar prejuízo ou dano para o seu ambiente organizacional;
• Vulnerabilidade: fragilidade que pode ser explorada por uma ou mais ameaças no ambiente da serventia;
• Violação: qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos, políticas e procedimentos operacionais da serventia;
• Credencial de Acesso: é a identificação do colaborador em ambientes lógicos, sendo composta por seu nome de usuário (login) e senha ou por outros mecanismos de identificação e autenticação como crachá magnético, certificado digital, token e biometria;
• Incidente de Segurança da Informação: eventos indesejados ou inesperados que possam colocar em risco as informações armazenadas em meio físico ou eletrônico sob a guarda da serventia ou que tenham grande probabilidade de comprometer as operações do seu negócio e ameaçar a segurança da informação;
• Incidente de Segurança com dados pessoais: é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, ais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
• Classificação da Informação: processo que compreende a identificação e definição de níveis e critérios de proteção para as informações, de forma a garantir sua confidencialidade, integridade e disponibilidade;
• Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
• Integridade: salvaguarda da exatidão e completeza da informação;
• Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes tempestivamente (no momento da solicitação);
• Confiabilidade: recurso relativo à consistência no comportamento e nos resultados desejados;
• Impacto: trata das consequências esperadas caso as informações protegidas sejam expostas de forma não autorizada;
• Probabilidade: oportunidade de uma vulnerabilidade ser explorada por uma ameaça;
• Sigilo profissional: trata da manutenção de segredo para informação valiosa, cujo domínio de divulgação deva ser fechado, ou seja, restrito a um cliente, a uma serventia ou a um grupo, uma vez que a ele é confiada a manipulação da informação;
• Gestão de Risco: atividades coordenadas para dirigir e controlar uma serventia em relação ao risco, aplicabilidade de suas políticas de segurança bem como monitoramento e revisão dos riscos;
• Plano de Continuidade do Negócio: fornece estratégias para garantir que serviços essenciais ou críticos sejam identificados, para garantir sua preservação após a ocorrência de um desastre e até o retorno da situação normal de funcionamento da serventia. Também prevê quais planos de ação devem ser realizados em cada momento;
• Comitê de Segurança da Informação (CSI): é o comitê composto por uma equipe multidisciplinar, cuja principal função está em assessorar a implementação das ações relacionadas à Segurança da Informação, além de avaliar os controles e incidentes de segurança relacionados.

As diretrizes e normas referentes à presente PSI são estabelecidas a seguir.

• 6.1. Interpretação
  Esta PSI e seus documentos complementares devem ser interpretados dentro do contexto de uso de informações e recursos de TI. Tudo o que não estiver expressamente permitido apenas poderá ser realizado após prévia autorização do Comitê de Segurança da Informação (CSI), devendo ser levada em consideração a análise de risco e a necessidade do negócio à época de sua solicitação.
• 6.2. Propriedade
  As informações geradas, acessadas, manuseadas, transmitidas, compartilhadas, armazenadas ou descartadas por gestores, colaboradores e terceiros no exercício de suas atividades profissionais com a serventia, bem como os demais recursos tangíveis e intangíveis disponibilizados a esses atores são de sua propriedade exclusiva, as quais devem ser empregadas exclusivamente em atividades de interesse da mesma.
• 6.3. Proteção da Informação
  As informações geradas, adquiridas, armazenadas, processadas, transmitidas e descartadas pela serventia devem ter mecanismos de proteção adequados, de forma a resguardar sua confidencialidade, integridade, disponibilidade, autenticidade e legalidade. Os mecanismos de proteção devem estar em conformidade com a legislação vigente, e com a versão vigente das normas de Segurança da Informação da ISO 27001 para as informações tratadas pela serventia e da ISO 27701 para informações que evolvam dados pessoais.
• 6.4. Classificação da Informação
  As informações de propriedade ou sob a responsabilidade da serventia, devem ser classificadas de forma a serem protegidas adequadamente, com controles compatíveis em todo o seu ciclo de vida, por meio da implementação de ferramentas e formalização de processos em instrumento específico, nos termos dos Normativos Internos de Segurança da Informação ou legislação prevista para cada tipo de informação por ela tratada.
• 6.5. Controle de Acesso às Informações
  Toda informação utilizada pelas áreas, aplicações e ou sistemas geridos ou sob responsabilidade da serventia, deve ter seu acesso controlado e monitorado, sendo que cada usuário deve ter acesso a apenas o que realmente necessita para execução de suas atividades, sendo vetados os acessos não autorizados dos demais profissionais ao acervo físico e lógico da serventia.
• 6.6. Privacidade e Proteção de Dados
  A serventia respeita a privacidade dos titulares de dados e garante a proteção e segurança dos dados pessoais durante todo o processo de tratamento de seus dados até o seu descarte final, por meios de processos de segurança física e lógica.
• 6.7. Responsabilidade em relação a Segurança da Informação tratadas
  • 6.7.1. O usuário é responsável pela segurança das informações a que tenha acesso;
  • 6.7.2. Os usuários devem notificar à equipe de Gestão de Segurança ou ao Comitê de Segurança da Informação (CSI) os casos de violação das regras e eventuais falhas de Segurança da Informação ou violação de dados pessoais mediante registro de incidente de segurança;
  • 6.7.3. Os gestores das áreas devem conscientizar usuários, prestadores de serviços, fornecedores com os quais a área tenha contato direto, além de visitantes sobre a importância da Segurança das Informações e proteção dos dados pessoais utilizados pela serventia e do cumprimento ao disposto nesta política.
• 6.8. Gestão de Continuidade do Negócio

  A serventia é responsável por elaborar e manter um plano de continuidade de negócios, de acordo com a sua necessidade ou exigências legais, de forma a reduzir os impactos decorrentes da interrupção de serviços causada por desastres ambientais ou não, bem como falhas da segurança física e lógica. Deve existir para cada situação um plano de continuidade, contendo informações mínimas para recuperação do serviço e forma para manter a integridade das informações sob sua custódia.

• 6.9. Gestão de Riscos

  A serventia é responsável por implementar e manter um processo para análise e gestão dos riscos, objetivando minimizar possíveis impactos sobre as informações tratadas e mantidas em seu ambiente, bem como para novas informações a serem coletadas ou produtos que poderão utilizar informações existentes as quais eram destinadas a outras atividades de tratamento. O processo de gestão de riscos também deverá avaliar o escopo da infraestrutura que mantém informações sob sua responsabilidade e deve definir plano para os ativos a serem protegidos, bem como os dados pessoais mantidos. O processo de gestão de risco deve subsidiar informações para definir e implantar controles para a identificação e tratamento de problemas relacionados à segurança e proteção de dados pessoais.

• 6.10. Tratamento de Incidentes

  Devem ser estabelecidos procedimentos formais para notificação de incidentes de segurança da informação, bem como procedimentos de resposta a incidentes, sendo obrigatória a notificação desses incidentes a todos que possam estar envolvidos. Para incidentes que envolvam dados pessoais deverão ser estabelecidos procedimentos para avaliação dos riscos e impactos do incidente a necessidade da elaboração de Relatório de Impacto à Proteção de Dados – RIPD, bem como a avaliação sobre a necessidade de notificação do mesmo à Autoridade Nacional de Proteção de Dados – ANPD e aos titulares de dados.

• 7.1. Compete ao Comitê de Segurança da Informação:
  • Propor diretrizes e normas de caráter geral, políticas e estratégias em segurança da informação.
  • Elaborar o planejamento e gestão da Segurança da Informação e proteção de dados pessoais.
  • Elaborar documentos necessários à Segurança da Informação e proteção de dados pessoais.
  • Elaborar, divulgar para as partes interessadas, manter e aperfeiçoar os indicadores de Segurança da Informação e proteção de dados pessoais.
  • Elaborar, implementar, manter e melhorar o Plano de Continuidade de Negócios.
  • Coordenar juntamente com a equipe de Recursos Humanos programas de treinamento e de conscientização em Segurança da Informação e proteção de dados pessoais.
  • Analisar os incidentes de Segurança da Informação e recomendar as ações corretivas e preventivas.
  • Assegurar que o sistema de gestão da segurança da informação está em conformidade com os requisitos da norma ISO 27001 vigente e à LGPD.
  • Relatar o desempenho do sistema de Gestão da Segurança da Informação para a Alta Direção.
• 7.2. Compete à Alta Direção:
  • Aprovar a Política de Segurança da Informação.
  • Patrocinar a implementação da Política de Segurança da Informação.
  • Apoiar o processo de melhoria contínua do Sistema de Gestão de Segurança da Informação e proteção de dados pessoais.
• 7.3. Compete ao Departamento de Recursos Humanos:
  • Promover, com o envolvimento do Comitê de Segurança da Informação, palestras de conscientização dos colaboradores em relação à importância da segurança da informação para o negócio da serventia.
  • Manter o registro e controle atualizados de todas as liberações de acesso concedidas, providenciando, sempre que demandado formalmente, a pronta suspensão ou alteração de tais liberações, mediante solicitação à TI.
  • Ficará responsável por informar prontamente à TI acerca dos desligamentos e mudança de função dos colaboradores.
  • Informar, sempre que necessário, atualizações referentes a processos e/ou cadastros de funcionários para que as permissões possam ser concedidas ou revogadas de acordo com a necessidade.
  • Elaborar, em parceria com o Comitê de Segurança da Informação, um plano de comunicação e disseminação da Política de Segurança da Informação e proteção de dados pessoais.

Os usuários devem ser instruídos para a correta utilização das informações, dos recursos computacionais, sistemas, aplicações e serviços disponibilizados pela serventia, ela deverá manter um plano de capacitação em segurança da informação e proteção de dados pessoais, voltada aos colaboradores cujas atividades sejam direcionadas correlatas aos assuntos citados anteriormente.

Violações: Os incidentes de segurança da informação e proteção de dados pessoais identificados como violações devem ser avaliados pela equipe do CSI, a qual fará a avalição sobre o incidente e posteriormente deverá elaborar relatório e, quando possível identificar os responsáveis enviando à área gestora e ao RH para medidas cabíveis, previstas em cláusulas contratuais, normas e políticas dentre outros documentos normativos da serventia. Para os incidentes que envolvam dados pessoais deverá ser avaliada a necessidade de comunicação à ANPD.
Inobservância às normas: A tentativa de transgredir ou burlar as diretrizes e controles estabelecidos nesta PSI e suas complementações, quando constatada, deve ser tratada como uma violação.

A Política de Segurança da Informação (PSI) no âmbito da serventia está estruturada com as Políticas Complementares indicadas a seguir, que tratam da gestão dos recursos tecnológicos e devem ser atendidas conforme sua especificidade:

• 10.1. PC01 – Política de Uso de Senhas
  Estabelecer critérios para a criação de senhas fortes, proteção dessas senhas, bem como a frequência de suas atualizações.
• 10.2. PC02 – Política de Uso do Correio Eletrônico
  Estabelecer critérios que determinem as exigências mínimas de segurança para uma comunicação através do correio eletrônico institucional.
• 10.3. PC03 – Política de Resposta a Incidentes de Segurança da Informação
  Estabelecer medidas a serem tomadas nos tratamentos de incidentes, envolvendo a segurança das informações. Os Incidentes de Segurança da Informação em eventos podem resultar em perda, dano ou acesso não autorizado às informações.
• 10.4. PC04 – Política de Classificação da Informação
  Estabelecer padrões na determinação de quais informações podem ser divulgadas fora da serventia, bem como ser sensível em relação às informações que não devem ser divulgadas sem a devida autorização.
• 10.5. PC05 – Política de Aquisição, Desenvolvimento e Manutenção de Sistemas de Informações
  Estabelecer as exigências mínimas que devem ser atendidas no desenvolvimento, aquisição e suporte das aplicações sistêmicas.
• 10.6. PC06 – Política de Uso da Internet
  Estabelecer as exigências mínimas de segurança da informação para o uso seguro da Internet.
• 10.7. PC07 – Política de Acesso Remoto
  Estabelecer regras e requisitos para acesso externo à rede da serventia e minimizar o risco potencial para danos que possam resultar do uso não autorizado.
• 10.8. PC08 – Política de Controle de Acesso
  Estabelecer as exigências mínimas na criação de identidades em conformidade com as atividades funcionais e no controle de acesso dos usuários.
• 10.9. PC09 – Política de Dispositivos Móveis
  Estabelecer regras e padrões na utilização e armazenamento dos dispositivos móveis utilizados nas atividades de trabalho da serventia.
• 10.10. PC10 – Política de Backup Corporativo
  Estabelecer padrões para a cópia e restauração, com a finalidade de continuidade e disponibilidade das informações, observando a relevância e criticidade destas.
• 10.11. PC11 – Política de Combate a Softwares Maliciosos
  Estabelecer as exigências mínimas de segurança para a proteção contra softwares maliciosos (vírus, trojan, entre outros).

Esta Política deverá ser revista no prazo máximo de 12 (doze) meses; Situações não previstas, dúvidas, informações adicionais e sugestões referentes a esta Política de Segurança da Informação devem ser encaminhadas ao CSI por meio do e-mail csi@registroitapagipe.com.br. O não cumprimento da Política de Segurança da Informação sujeitará o usuário à suspensão temporária ou permanente do acesso aos recursos informacionais do ambiente corporativo.

Esta PSI entra em vigor a partir da aprovação da Alta Direção, RH, Equipe de TI, na data (15/02/2023).

• ABNT NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de segurança – Sistemas de Gestão de Segurança da Informação – Requisitos;
• ABNT NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de segurança – Código de prática para a Gestão da Segurança da Informação;
• ABNT NBR ISO/IEC 27701:2019 – Tecnologia da Informação – Técnicas de segurança – Gestão da privacidade da informação — Requisitos e diretrizes;
• Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018.

Esta política tem como objetivo principal orientar o tratamento de todas as espécies de dados pessoais tratados pelo OFÍCIO DE REGISTRO DE IMÓVEIS DA COMARCA DE ITAPAGIPE-MG, a partir dos seguintes objetivos específicos:

1. Estabelecer as diretrizes gerais para o tratamento dos dados pessoais coletados pela serventia, abarcando e unificando todas as demais políticas;
2. Proteger os direitos dos titulares dos dados tratados, tais como usuários dos serviços, colaboradores, prestadores de serviço externos e outras pessoas com as quais a serventia se relaciona;
3. Estar em conformidade com a Lei Geral de Proteção de Dados (LGPD), os provimentos das corregedorias e melhores práticas aplicáveis;
4. Proteger a serventia do risco de incidentes de segurança, violações de dados e responsabilizações administrativas e civis.

A fim de possibilitar uma plena compreensão desta política, faz-se necessário delimitar alguns conceitos presentes nesta política. Veja-se:

1. Alta Direção: termo tecnicamente utilizado no compliance, para designar os responsáveis pela gestão estratégica das organizações. No caso dos cartórios, a Alta Direção é centralizada na pessoa do agente delegado e seus substitutos. A adesão da Alta Direção é fundamental para o sucesso da implementação da LGPD;
2. Banco de dados: é a organização e armazenagem de informações sobre um domínio específico. De forma mais simples, é o agrupamento de dados que tratam do mesmo assunto, e que precisam ser armazenados para segurança ou conferência futura;
3. Confiabilidade: propriedade das informações que são íntegras, disponíveis e confidenciais;
4. Confidencialidade: informações de acesso restrito e armazenadas com proteção suficiente para que apenas as pessoas autorizadas possam acessá-las;
5. Integridade: informações que mantém sua utilidade, precisão, consistência atualidade e autenticidade;
6. Disponibilidade: informações que são acessíveis quando é necessário, ou seja, diz respeito à capacidade de que as informações sejam consultadas a qualquer momento. Pode-se garanti-la pela proteção e organização do banco de dados;
7. Incidente de segurança com dados pessoais: evento adverso que coloque em risco a confiabilidade das informações, tais como acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento de dados inadequada;
8. Sistema de Gestão de Privacidade de Dados Pessoais (SGPD): designa um conjunto de atividades direcionadas para que uma organização identifique seus objetivos, determine os processos e recursos necessários para atingi-los e colocá-los em operação dentro de um ciclo de melhoria contínua. Envolve processos, políticas e pessoas (Alta Direção, equipe, fornecedores), fornecendo diretrizes para a implementação, manutenção e melhoria contínua para a proteção de dados dentro do contexto da atividade de tratamento;
9. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, ou entre entes privados;
10. Interoperabilidade de dados: característica que se refere à capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficaz e eficiente.

A serventia está empenhada em seguir as obrigações trazidas pela LGPD, a partir dos seguintes princípios:

1. a interpretação da LGPD e regulamentos de proteção de dados devem ser realizada em harmonia com a legislação notarial e de registro, devendo se pautar sobretudo pela regulamentação do Conselho Nacional de Justiça (CNJ) e da Corregedoria-Geral da Justiça estadual;
2. todas as atividades de tratamento devem ser legitimadas em uma das bases legais previstas nos artigos 7º e 11 da LGPD, bem como pautadas na persecução do interesse público, com o objetivo de cumprir as atribuições legais do serviço;
3. os dados pessoais devem ser coletados para fins legítimos, específicos e explícitos, sendo vedada a sua utilização para finalidades diversas das informadas ao titular;
4. os dados pessoais devem ser mantidos pelo tempo necessário para atender à finalidade para os quais foram coletados, com sua eliminação após encerrada tal finalidade, salvo necessidade de armazenamento para cumprimento de dever legal;
5. os dados pessoais devem ser armazenados de forma a garantir sua qualidade, isto é, exatidão, clareza, relevância e atualização;
6. durante todo o ciclo de vida dos dados, a serventia empenhará esforços para garantir sua segurança, por meio de medidas preventivas e reativas, conforme descrito na Política de Segurança da Informação.

Frente às necessárias mudanças nos processos da serventia, acarretadas pelo posicionamento adotado em internalizar os valores da LGPD na cultura organizacional, os esforços implantados resultam em um processamento de dados legítimo e transparente, de modo que:

1. O encarregado de dados assumirá a responsabilidade pela conformidade contínua do cartório com esta política, por meio de programa de conscientização. Os colaboradores devem requisitar ajuda ao encarregado para sanar quaisquer dúvidas relacionadas à proteção de dados;
2. Para garantir um processamento de dados em conformidade com a lei, o cartório manterá atualizado seu Inventário de Dados Pessoais, que indica o ciclo de vida dos dados e as bases legais que legitimam o tratamento;
3. O cartório dever garantir que os titulares tenham ciência de quais dados seus estão sendo tratados, a finalidade do tratamento e como podem exercer seus direitos perante a serventia. Para tanto, a serventia deve manter atualizada sua Política de Privacidade, bem como os demais documentos informativos (termos de uso do site, política de cookies, aviso de câmeras, dentre outros). Tais documentos devem ser divulgados no site e no espaço físico do cartório, por meio de cartazes;
4. Quaisquer solicitações dos titulares de dados deverão ser respondidas conforme indicações da Política de Atendimento. Caso a solicitação seja efetuada verbalmente, deverá ser atendida imediatamente. Se isso não for possível, deve-se informar à pessoa que a demanda será encaminhada ao encarregado de dados. Caso a solicitação seja efetuada em outro e-mail da serventia, deve ser encaminhada ao e-mail do encarregado, com indicação ao solicitante de que a demanda foi encaminhada internamente;
5. Feita a solicitação no canal de atendimento – ou encaminhada de outros setores –, caberá ao encarregado de dados a análise da pertinência do pedido. Tal análise deverá ser realizada da maneira mais breve possível, dentro dos prazos recomendados na Política de Atendimento;
6. Se o consentimento for a base legal adequada para a atividade de tratamento, as evidências que comprovem sua concessão devem ser devidamente arquivadas. Além disso, deve ser facultado ao titular a possibilidade de revogar a autorização a qualquer tempo, mediante solicitação pelo canal de atendimento do encarregado de dados.

Todos aqueles que manipulam dados pessoais em nome da serventia – interna ou externamente – devem garantir que o fazem em observância a esta política e aos princípios de privacidade de dados aqui presentes e trazidos pela LGPD. Algumas funções possuem responsabilidades chave:

1. Membros da Alta Direção – a saber, titular e substitutos – são responsáveis por:
   1. Assegurar o cumprimento desta política;
   2. Assegurar que os recursos necessários para o Sistema de Gestão de Privacidade de Dados Pessoais (SGPD) estejam disponíveis;
   3. Comunicar a importância do SGPD;
   4. Assegurar que esta Política alcance os seus objetivos e resultados pretendidos;
   5. Promover a melhoria contínua do SGPD;
   6. Apoiar os papéis relevantes no ciclo de gestão do SGPD.
2. Os responsáveis pelas áreas Administrativa e Financeira da serventia, que:
   1. Manipular dados de contratos;
   2. Gerenciar pagamentos e recebimentos;
   3. Analisar propostas comerciais de fornecedores;
   4. Realizar contato com usuários, fornecedores e colaboradores, usando diversos meios de comunicação, como e-mail, telefone e aplicativos de mensagens.
3. O Encarregado de dados é responsável por:
   1. Manter a administração da serventia atualizada em relação a responsabilidades, riscos e questões conexas a privacidade de dados;
   2. Revisar periodicamente políticas e procedimentos relacionados à privacidade de dados;
   3. Fornecer treinamento adequado em proteção de dados para os indivíduos contemplados nesta política;
   4. Responder a questões sobre privacidade de dados feitas por colaboradores ou outro indivíduo pertinente;
   5. Lidar com requisições de informação, alteração, exclusão, portabilidade e acesso a dados pessoais feitas pelos titulares;
   6. Avaliar (e aconselhar a Direção acerca de) qualquer contrato ou acordo com terceiros que manipulem dados sensíveis controlados pela serventia.
4. A Área de Tecnologia da Informação é responsável por:
   1. Garantir que todos os sistemas, serviços e equipamentos usados para o armazenamento de dados possuam padrões aceitáveis de segurança;
   2. Realizar checagens e varreduras periódicas para garantir que os respectivos hardwares e softwares de segurança estão funcionando de forma apropriada;
   3. Avaliar qualquer serviço ofertado por terceiro para armazenar ou tratar dados pessoais (e seu nível de segurança), como, por exemplo, serviços de computação em nuvem.

Para atendimento da finalidade pública, o tratamento de dados pessoais atribuído à serventia observa os princípios da LGPD, as hipóteses autorizativas, e operacionaliza os direitos dos titulares. Tendo isso em consideração, sua atuação está pautada:

1. Com base no princípio da necessidade, devendo garantir que os dados pessoais sejam precisos, relevantes e limitados ao que é necessário para cumprimento das finalidades que legitimam sua coleta;
2. Quando cabível, técnicas para anonimização e pseudo-anonimização deverão ser utilizadas para elevar a segurança dos dados tratados;
3. Assim que não mais persistir a finalidade para qual o dado pessoal foi coletado, e não mais existir qualquer obrigação legal ou regulatória, ou mesmo interesse jurídico em mantê-lo, este será prontamente excluído da base de dados pessoais tratados pela serventia;
4. Para garantir que os dados pessoais não sejam mantidos por mais tempo do que o necessário, a serventia deve estabelecer à temporalidade de armazenamento das informações, além de estabelecer procedimentos para descarte seguro, de modo a tornar os dados excluídos irrecuperáveis. Essa matéria é tratada em detalhes na Política de Gestão Documental e Descartes, baseada no Provimento nº 50/2015 do CNJ;
5. Dados pessoais devem ser armazenados no menor número possível de locais diversos entre si.

Segurança e confiabilidade das informações são dois pilares de grande relevância para a proteção de dados pessoais. Uma serventia com um sistema atualizado e um projeto de conformidade implementado também depende da junção de pessoas que respeitem as regras e processos, por isso a mitigação dos riscos engloba:

1. Que os dados armazenados fisicamente sejam arquivados em local seguro, que impeça incidentes de segurança. De igual modo, que seja restrito o acesso dados armazenados digitalmente por meio de ferramentas de sistema, como acesso por login e senha e escalas de permissão por grupos de acesso. Os demais cuidados a serem tomados neste sentido estão descritos na Política de Segurança da Informação;
2. Que os dados pessoais não devem ser compartilhados informalmente. Caso necessitem de ter acesso à informação confidencial, o empregado deve requisitar tal acesso ao seu superior;
3. Que qualquer indivíduo que acesse informações que não fazem parte do escopo de trabalho deve comunicar imediatamente tal fato à área de tecnologia da informação, bem como ao encarregado de dados;
4. Que é responsabilidade de todos que manuseiam dados pessoais tomar os cuidados adequados para manter preservada sua integridade;
5. Convém que a serventia continuamente invista em tecnologias avançadas para que o acervo seja armazenado em ambiente atualizado;
6. Soluções adequadas para prevenção e recuperação de incidentes, já devidamente implementadas, devem ter sua adequação avaliada periodicamente. Além disso, convém que as tecnologias empregadas sejam constantemente avaliadas.

Segundo a LGPD, há situações em que os dados pessoais podem ser comunicados, difundidos, transferidos ou interconectados. O uso compartilhado de dados na serventia ocorre mediante previsão legal ou consentimento do titular, e sempre considerará que:

1. As informações do banco de dados deverão ser mantidas em formato interoperável e estruturado para o uso compartilhado;
2. A LGPD confere permissão geral para o uso compartilhado de dados entre órgãos do Poder Público, mas condiciona tal atividade ao atendimento das finalidades específicas de execução de políticas públicas e atribuição legal pelos destinatários. Assim, a serventia deverá analisar solicitações de compartilhamento são legítimas, buscando assistência junto a seu encarregado de dados e demais consultores, quando necessário;
3. A LGPD prevê como regra geral a vedação ao compartilhamento de dados com entes privados, mas estabelece uma série de exceções em que ele é devido:
   1. Para execução descentralizada de atividade pública que exija o uso compartilhado de dados, observado o disposto na Lei de Acesso à Informação;
   2. nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
   3. quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
   4. na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
4. Dados pessoais não devem ser compartilhados com pessoas sem autorização de acesso a eles, seja de fora ou de dentro da serventia;
5. Todos os terceiros que manipulem os dados pessoais em nome da serventia deverão possuir padrões de segurança adequados para tal, além de observar os mesmos princípios de privacidade de dados que pautam a conduta da serventia.

Para o cumprimento de seus deveres legais e para a Administração, a Serventia coletará informações de colaboradores durante o processo de contratação e no decorrer de todo contrato de trabalho.

1. As informações referidas no caput desta cláusula constam abaixo delimitadas:
   1. [Dados do colaborador]
   2. [Dados dos dependentes]
2. Os dados pessoais acima listados serão tratados pela Serventia para as seguintes finalidades:
   1. Cumprimento de obrigações regulatórias ou legais, dentre elas as trabalhistas, previdenciárias, fiscais e tributárias, incluindo o disposto em Acordos ou Convenções Coletivas da categoria do Colaborador e do Empregador;
   2. Viabilização de relação de trabalho, praticando atos diversos. A título de exemplo: formalização e registros obrigatórios na CTPS física e/ou digital; procedimentos de admissão, execução e rescisão do Contrato de Trabalho; registros em livros, fichas ou arquivos eletrônicos da Serventia; registro e pagamento do Fundo de Garantia por Tempo de Serviço (FGTS); registro e pagamento de contribuições previdenciárias; emissão de recibos de pagamento de salário, férias, décimo-terceiro salário, bônus e outros valores devidos ao colaborador; aquisição do vale-transporte; contratação de plano de assistência médica e/ou odontológica; registro e autorização de uso de sistemas internos, softwares e demais funcionalidades relativas à função; e criação e uso de e-mail corporativo;
   3. Manter contato entre as partes, em razão da relação de trabalho e dos efeitos jurídicos dela decorrentes;
   4. Manter a segurança das instalações da Serventia, evitando fraudes e quebras de confidencialidade.
3. Para as finalidades listadas acima, a Serventia poderá compartilhar os dados pessoais do colaborador com outros agentes de tratamento de dados, incluindo, mas não se limitando, aos seguintes destinatários:
   1. escritório de contabilidade;
   2. escritório de contabilidade de advocacia;
   3. empresas prestadoras de serviços de software e gestão;
   4. operadoras de planos de assistência médica e odontológica;
   5. empresas emissoras de vale-transporte, vale-refeição e vale-alimentação;
   6. instituições financeiras;
   7. órgãos e entes públicos, tais como o Instituto Nacional de Seguro Social (INSS);
   8. Ministério Público do Trabalho de Emprego (MPTE);
   9. Serviços Especializados em Engenharia de Segurança e Medicina do Trabalho (SESMT).

Este documento será avaliado anualmente, podendo ser alterado a qualquer tempo e critério. As pessoas que violarem esta política estarão sujeitas às medidas legais e/ou disciplinares cabíveis.

Descrever o processo de atendimento às solicitações dos titulares no âmbito do OFÍCIO DE REGISTRO DE IMÓVEIS DA COMARCA DE ITAPAGIPE-MG, por meio do canal de atendimento do encarregado de proteção de dados pessoais.

Conforme a Lei Geral de Proteção de Dados (LGPD) e Provimento nº 134/2022/CNJ, todo titular de dados pessoais tem o direito de:

1. Questionar se a serventia possui algum dado pessoal do titular (confirmação de existência);
2. Requisitar acesso aos dados tratados pela serventia, por meio simplificado ou através de declaração completa quais informações a serventia possui sobre ele, bem como as finalidades e formas de tratamento
3. Ser informado sobre o andamento de suas solicitações;
4. Ser informado sobre os esforços que a serventia empenha para se manter em conformidade com seus deveres como agente de tratamento de dados;
5. Solicitar a alteração, atualização ou exclusão de seus dados pessoais, quando a lei permitir, respeitando procedimentos contemplados em leis específicas;
6. Solicitar atividades de tratamento

Diante disso, é dever da serventia, através do encarregado, responder às solicitações e manter registros do atendimento.

O encarregado deverá empregar esforços para responder às solicitações no mínimo tempo possível. O único prazo peremptório é o da declaração completa prevista no art. 19, II da LGPD, de 15 dias corridos, contados da data do requerimento do titular. Recomenda-se, porém, que este prazo seja considerado como parâmetro para atendimento de todas as solicitações.

Todo direito fundamentado exclusivamente na LGPD ou nos regulamentos de proteção de dados devem ser concedidos gratuitamente. Nas hipóteses em que a solicitação envolver atos típicos da atividade notarial e registral, os pedidos devem ser processados conforme requisições normais de serviço, com cobrança de emolumentos, sob pena de ofensa ao art. 30, VIII da Lei 8.935/1994.

As atividades do processo de atendimento ao titular de dados estão representadas no fluxograma a seguir:

Sempre que uma solicitação for realizada, o encarregado deve desde logo localizar o cadastro do titular no banco de dados do cartório (por exemplo, o sistema interno).

Em seguida, o encarregado deverá validar a identidade do requerente antes de atender qualquer tipo de solicitação, a fim de garantir a segurança dos titulares e evitar o compartilhamento indevido de dados pessoais. Para tal verificação, os seguintes métodos poderão ser utilizados:

1. Através de uma ligação (ou por atendimento presencial), e o encarregado pode confirmar, aleatoriamente, de 3 a 5 informações, conforme o cadastro do titular no sistema do cartório;
2. Solicitar o envio de algum tipo de documento via e-mail (ou atendimento no balcão), tal como Carteira de Identidade (“RG”), Carteira de Motorista (“CNH”), Certidão de Nascimento, Passaporte, dentre outros.
3. Solicitar a confirmação de uma mensagem por SMS (mensagem por celular), desde que no cadastro da serventia conste o telefone pessoal do titular (não pode ser passado no momento do pedido).

Caso não seja possível a identificação do titular, deve-se registrar a não validação da identidade e a consequente negativa de atendimento. Nesse caso, é importante manter registro das tentativas de contato, bem como as razões de ter sido frustrada a validação.

Quando validada a identidade, o encarregado avaliará a possibilidade jurídica de atender à solicitação, baseando-se nos requisitos legais e regulamentares. Constatada a justeza do pedido, encaminhará a demanda levando em consideração também as políticas internas aplicáveis. Se pertinente, a assessoria jurídica da serventia poderá ser consultada (ou mesmo outros fornecedores).

Quando a solicitação não guardar fundamento válido, o encarregado deve informar a negativa ao titular, fundamentando os motivos de tal impossibilidade. Quando houver tal fundamento, a solicitação deve ser atendida.

Por fim, quando for o caso, o encarregado deverá comunicar aos destinatários com os quais tenha compartilhado os dados do titular. Isso porque a efetividade do atendimento ao direito deve abranger todos os agentes de tratamento que tenham posse dos dados. Por exemplo, a eliminação de dados deverá ser implementada em todos os bancos de dados pertinentes, tanto da serventia, quanto de fornecedores (como contatores, bancas advocatícias e serviços de backup, por exemplo). Tal dever de comunicação apenas inexiste se a medida for comprovadamente impossível ou implique esforço desproporcional, o que deve ser verificado caso a caso.