INTRODUÇÃO
A Política de Segurança da Informação (PSI) estabelece diretrizes e procedimentos para proteger as informações e recursos do cartório contra ameaças internas e externas, bem como garantir a disponibilidade, integridade e confidencialidade das informações. A PSI se aplica a todos os funcionários, contratados e fornecedores do cartório.

OBJETIVOS

• Proteger as informações e recursos da organização contra ameaças internas e externas;
• Garantir a disponibilidade, integridade e confidencialidade das informações;
• Cumprir as leis, regulamentos e requisitos contratuais aplicáveis à segurança da informação;
• A definição dos princípios e diretrizes gerais que visam a preservação da segurança da informação e da proteção de dados pessoais, primando pela legalidade dos processos que amparam a operacionalização e a gestão das atividades;
• A participação e o cumprimento das medidas protetivas por todos os colaboradores, clientes, contratados e fornecedores em todos os processos que tratem informações;
• Promover uma cultura de segurança da informação na organização.

ESCOPO
A PSI se aplica a todos os sistemas, redes e dispositivos que processam, armazenam e transmitem informações do cartório.

DEFINIÇÕES
Para melhor interpretação da presente PSI consideram-se:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Risco: estabelece a relação entre probabilidade e impacto em uma determinada situação ou atividade. Essa análise possibilitar determinar como devem ser os investimentos em segurança da informação;
• Ameaça: elemento externo ou interno capaz de explorar vulnerabilidades existentes no ambiente da serventia, o qual pode ocasionar prejuízo ou dano para o seu ambiente organizacional;
• Vulnerabilidade: fragilidade que pode ser explorada por uma ou mais ameaças no ambiente da serventia;
• Violação: qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos, políticas e procedimentos operacionais da serventia;
• Credencial de Acesso: é a identificação do colaborador em ambientes lógicos, sendo composta por seu nome de usuário (login) e senha ou por outros mecanismos de identificação e autenticação como crachá magnético, certificado digital, token e biometria;
• Incidente de Segurança da Informação: eventos indesejados ou inesperados que possam colocar em risco as informações armazenadas em meio físico ou eletrônico sob a guarda da serventia ou que tenham grande probabilidade de comprometer as operações do seu negócio e ameaçar a segurança da informação;
• Incidente de Segurança com dados pessoais: é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
• Classificação da Informação: processo que compreende a identificação e definição de níveis e critérios de proteção para as informações, de forma a garantir sua confidencialidade, integridade e disponibilidade;
• Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
• Integridade: salvaguarda da exatidão e completeza da informação;
• Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes tempestivamente (no momento da solicitação);
• Confiabilidade: recurso relativo à consistência no comportamento e nos resultados desejados;
• Impacto: trata das consequências esperadas caso as informações protegidas sejam expostas de forma não autorizada;
• Probabilidade: oportunidade de uma vulnerabilidade ser explorada por uma ameaça;
• Gestão de Riscos: atividades coordenadas para dirigir e controlar uma serventia em relação ao risco, aplicabilidade de suas políticas de segurança bem como monitoramento e revisão dos riscos;
• Plano de Continuidade do Negócio: fornece estratégias para garantir que serviços essenciais ou críticos sejam identificados, para garantir sua preservação após a ocorrência de um desastre e até o retorno da situação normal de funcionamento da serventia. Também prevê quais planos de ação devem ser realizados em cada momento;

RESPONSABILIDADES

• O TITULAR é responsável por definir e implementar a PSI e garantir a conformidade com suas diretrizes;
• O setor de TI é responsável por implementar e aplicar a PSI no cartório;
• Todos os funcionários, contratados e fornecedores são responsáveis por cumprir a PSI e relatar quaisquer violações ou incidentes de segurança da informação.

CLASSIFICAÇÃO DA INFORMAÇÃO
Todas as informações da organização devem ser classificadas de acordo com seu valor e sensibilidade para a organização.
As informações devem ser classificadas em pelo menos três níveis:

1. confidencial;
2. interno;
3. público.

CONTROLES DE ACESSO
O acesso às informações da organização deve ser limitado apenas aos funcionários que precisam delas para realizar suas funções. A autenticação e autorização devem ser usadas para controlar o acesso às informações.

Senhas fortes devem ser usadas e atualizadas regularmente, as informações devem ser criptografadas durante a transmissão e armazenamento.

GESTÃO DE RISCOS A serventia é responsável por implementar e manter um processo para análise e gestão dos riscos, objetivando minimizar possíveis impactos sobre as informações tratadas e mantidas em seu ambiente, bem como para novas informações a serem coletadas ou produtos que poderão utilizar informações existentes as quais eram destinadas a outras atividades de tratamento.

O processo de gestão de riscos também deverá avaliar o escopo da infraestrutura que mantém informações sob sua responsabilidade e deve definir plano para os ativos a serem protegidos, bem como os dados pessoais mantidos.

O processo de gestão de risco deve subsidiar informações para definir e implantar controles para a identificação e tratamento de problemas relacionados à segurança e proteção de dados pessoais.

GERENCIAMENTO DE INCIDENTES
Os incidentes de segurança da informação devem ser relatados imediatamente à equipe de segurança da informação.

Um plano de resposta a incidentes deve ser desenvolvido e testado regularmente, com objetivo de minimizar o impacto do incidente na organização e garantir que as informações sejam protegidas.

CONSCIENTIZAÇÃO E TREINAMENTO
Todos os funcionários, contratados, fornecedores e parceiros de negócios devem receber treinamento sobre a PSI e as melhores práticas de segurança da informação.

Treinamento e conscientização devem ser fornecidos regularmente e incluir tópicos como segurança de senha, phishing, malware, segurança em dispositivos móveis e comunicação segura.

PENALIDADES
Violações: Os incidentes de segurança da informação e proteção de dados pessoais identificados como violações devem ser avaliados pela equipe de TI, a qual fará a avaliação sobre o incidente e posteriormente deverá elaborar relatório e, quando possível identificar os responsáveis enviando ao TITULAR para medidas cabíveis, previstas em cláusulas contratuais, normas e políticas dentre outros documentos normativos da serventia. Para os incidentes que envolvam dados pessoais deverá ser avaliada a necessidade de comunicação à ANPD.

Inobservância às normas: A tentativa de transgredir ou burlar as diretrizes e controles estabelecidos nesta PSI e suas complementações, quando constatada, deve ser tratada como uma violação.

DISPOSIÇÕES GERAIS
Esta Política deverá ser revista no prazo máximo de 12 (doze) meses, situações não previstas, dúvidas, informações adicionais e sugestões referentes a esta Política de Segurança da Informação devem ser encaminhadas ao cartório por meio do e-mail contato@regimovelsabara.com.br. O não cumprimento da Política de Segurança da Informação sujeitará o usuário à suspensão temporária ou permanente do acesso aos recursos informacionais do ambiente corporativo.

REVISÃO E ATUALIZAÇÃO
Esta PSI está em constante análise e implementação, podendo ser alterada a qualquer momento sem aviso prévio. Esta PSI entra em vigor a partir da aprovação do Titular e da equipe de TI, na data (30/03/2023).

OBJETIVOS
Esta política estabelece as diretrizes para a proteção de dados no OFÍCIO DE REGISTRO DE IMÓVEIS SABARÁ-MG. Nós reconhecemos a importância da privacidade e proteção de dados pessoais de funcionários, clientes, contratados e fornecedores. A proteção dos dados pessoais é um compromisso sério e constante, que visa proteger a privacidade e os direitos dos titulares dos dados, a partir dos seguintes objetivos específicos:

1. Estabelecer as diretrizes gerais para o tratamento dos dados pessoais coletados pela serventia, abarcando e unificando todas as demais políticas;
2. Proteger os direitos dos titulares dos dados tratados, tais como usuários dos serviços (clientes), colaboradores, contratados e outras pessoas com as quais a serventia se relaciona;
3. Estar em conformidade com a Lei Geral de Proteção de Dados (LGPD), os provimentos das corregedorias e melhores práticas aplicáveis;
4. Proteger a serventia do risco de incidentes de segurança, violações de dados e responsabilizações administrativas e civis.

PRINCÍPIOS DE PROTEÇÃO DE DADOS
A serventia está empenhada em seguir as obrigações trazidas pela LGPD, a partir dos seguintes princípios:

1. a interpretação da LGPD e regulamentos de proteção de dados deve ser realizada em harmonia com a legislação registral, devendo se pautar sobretudo pela regulamentação do Conselho Nacional de Justiça (CNJ) e da Corregedoria-Geral da Justiça estadual;
2. todas as atividades de tratamento devem ser legitimadas em uma das bases legais previstas nos artigos 7o e 11 da LGPD, bem como pautadas na persecução do interesse público, com o objetivo de cumprir as atribuições legais do serviço;
3. os dados pessoais devem ser coletados para fins legítimos, específicos e explícitos, sendo vedada a sua utilização para finalidades diversas das informadas ao titular;
4. os dados pessoais devem ser mantidos pelo tempo necessário para atender à finalidade para os quais foram coletados, com sua eliminação após encerrada tal finalidade, salvo necessidade de armazenamento para cumprimento de dever legal;
5. os dados pessoais devem ser armazenados de forma a garantir sua qualidade, isto é, exatidão, clareza, relevância e atualização;
6. durante todo o ciclo de vida dos dados, a serventia empenhará esforços para garantir sua segurança, por meio de medidas preventivas e reativas, conforme descrito na Política de Segurança da Informação.

PROCESSAMENTO LEGAL, JUSTO E TRANSPARENTE
Frente às necessárias mudanças nos processos da serventia, acarretadas pelo posicionamento adotado em internalizar os valores da LGPD na cultura organizacional, os esforços implantados resultam em um processamento de dados legítimo e transparente, de modo que:

1. O encarregado de dados assumirá a responsabilidade pela conformidade contínua do cartório com esta política, por meio de programa de conscientização. Os colaboradores devem requisitar ajuda ao encarregado para sanar quaisquer dúvidas relacionadas à proteção de dados;
2. Para garantir um processamento de dados em conformidade com a lei, o cartório manterá atualizado seu Inventário de Dados Pessoais, que indica o ciclo de vida dos dados e as bases legais que legitimam o tratamento;
3. O cartório dever garantir que os titulares tenham ciência de quais dados seus estão sendo tratados, a finalidade do tratamento e como podem exercer seus direitos perante a serventia. Para tanto, a serventia deve manter atualizada sua Política de Privacidade, bem como os demais documentos informativos (termos de uso do site, política de cookies, aviso de câmeras, dentre outros). Tais documentos devem ser divulgados no site e no espaço físico do cartório, por meio de cartazes;
4. Quaisquer solicitações dos titulares de dados deverão ser respondidas conforme indicações da Política de Atendimento. Caso a solicitação seja efetuada verbalmente, deverá ser atendida imediatamente. Se isso não for possível, deve-se informar à pessoa que a demanda será encaminhada ao encarregado de dados. Caso a solicitação seja efetuada em outro e-mail da serventia, deve ser encaminhada ao e-mail do encarregado, com indicação ao solicitante de que a demanda foi encaminhada internamente;
5. Feita a solicitação no canal de atendimento – ou encaminhada de outros setores –, caberá ao encarregado de dados a análise da pertinência do pedido. Tal análise deverá ser realizada da maneira mais breve possível, dentro dos prazos recomendados na Política de Atendimento ao Titular de Dados;
6. Se o consentimento for a base legal adequada para a atividade de tratamento, as evidências que comprovem sua concessão devem ser devidamente arquivadas. Além disso, deve ser facultado ao titular a possibilidade de revogar a autorização a qualquer tempo, mediante solicitação pelo canal de atendimento do encarregado de dados.

RESPONSABILIDADES
Todos aqueles que manipulam dados pessoais em nome da serventia – interna ou externamente – devem garantir que o fazem em observância a esta política e aos princípios de privacidade de dados aqui presentes e trazidos pela LGPD.

MINIMIZAÇÃO DE DADOS PESSOAIS
Para atendimento da finalidade pública, o tratamento de dados pessoais atribuído à serventia observa os princípios da LGPD, as hipóteses autorizativas, e operacionaliza os direitos dos titulares. Tendo isso em consideração, sua atuação está pautada:

1. Com base no princípio da necessidade, devendo garantir que os dados pessoais sejam precisos, relevantes e limitados ao que é necessário para cumprimento das finalidades que legitimam sua coleta;
2. Quando cabível, técnicas para anonimização e pseudo-anonimização deverão ser utilizadas para elevar a segurança dos dados tratados;
3. Assim que não mais persistir a finalidade para qual o dado pessoal foi coletado, e não mais existir qualquer obrigação legal ou regulatória, ou mesmo interesse jurídico em mantê-lo, este será prontamente excluído da base de dados pessoais tratados pela serventia;
4. Para garantir que os dados pessoais não sejam mantidos por mais tempo do que o necessário, a serventia deve estabelecer à temporalidade de armazenamento das informações, além de estabelecer procedimentos para descarte seguro, de modo a tornar os dados excluídos irrecuperáveis;
5. Dados pessoais devem ser armazenados no menor número possível de locais diversos entre si.

SEGURANÇA E CONFIABILIDADE DAS INFORMAÇÕES
Segurança e confiabilidade das informações são dois pilares de grande relevância para a proteção de dados pessoais. Uma serventia com um sistema atualizado e um projeto de conformidade implementado também depende da junção de pessoas que respeitem as regras e processos, por isso a mitigação dos riscos engloba:

1. Que os dados armazenados fisicamente sejam arquivados em local seguro, que impeça incidentes de segurança. De igual modo, que seja restrito o acesso dados armazenados digitalmente por meio de ferramentas de sistema, como acesso por login e senha e escalas de permissão por grupos de acesso. Os demais cuidados a serem tomados neste sentido estão descritos na Política de Segurança da Informação;
2. Que os dados pessoais não devam ser compartilhados informalmente. Caso necessitem de ter acesso à informação confidencial, o empregado deve requisitar tal acesso ao seu superior;
3. Que qualquer indivíduo que acesse informações que não fazem parte do escopo de trabalho deve comunicar imediatamente tal fato à área de tecnologia da informação, bem como ao encarregado de dados;
4. Que é responsabilidade de todos que manuseiam dados pessoais tomar os cuidados adequados para manter preservada sua integridade;
5. Convém que a serventia continuamente invista em tecnologias avançadas para que o acervo seja armazenado em ambiente atualizado;
6. Soluções adequadas para prevenção e recuperação de incidentes, já devidamente implementadas, devem ter sua adequação avaliada periodicamente. Além disso, convém que as tecnologias empregadas sejam constantemente avaliadas.

COMPARTILHAMENTO DE DADOS PESSOAIS
Segundo a LGPD, há situações em que os dados pessoais podem ser comunicados, difundidos, transferidos ou interconectados. O uso compartilhado de dados na serventia ocorre mediante previsão legal ou consentimento do titular, e sempre considerará que:

1. As informações do banco de dados deverão ser mantidas em formato interoperável e estruturado para o uso compartilhado;
2. A LGPD confere permissão geral para o uso compartilhado de dados entre órgãos do Poder Público, mas condiciona tal atividade ao atendimento das finalidades específicas de execução de políticas públicas e atribuição legal pelos destinatários. Assim, a serventia deverá analisar solicitações de compartilhamento são legítimas, buscando assistência junto a seu encarregado de dados e demais consultores, quando necessário;
3. A LGPD prevê como regra geral a vedação ao compartilhamento de dados com entes privados, mas estabelece uma série de exceções em que ele é devido:
1. Para execução descentralizada de atividade pública que exija o uso compartilhado de dados, observado o disposto na Lei de Acesso à Informação;
2. nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
3. quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
4. na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
4. Dados pessoais não devem ser compartilhados com pessoas sem autorização de acesso a eles, seja de fora ou de dentro da serventia;
5. Todos os terceiros que manipulem os dados pessoais em nome da serventia deverão possuir padrões de segurança adequados para tal, além de observar os mesmos princípios de privacidade de dados que pautam a conduta da serventia.

TRATAMENTO DE DADOS DOS COLABORADORES
Para o cumprimento de seus deveres legais, a Serventia coletará informações de colaboradores durante o processo de contratação e no decorrer do contrato de trabalho.

1. As informações referidas no caput desta cláusula constam abaixo delimitadas:
1. Dados do colaborador
2. Dados dos dependentes
2. Os dados pessoais acima listados serão tratados pela Serventia para as seguintes finalidades:
1. Cumprimento de obrigações regulatórias ou legais, dentre elas as trabalhistas, previdenciárias, fiscais e tributárias, incluindo o disposto em Acordos ou Convenções Coletivas da categoria do Colaborador e do Empregador;
2. Viabilização de relação de trabalho, praticando atos diversos. A título de exemplo: formalização e registros obrigatórios na CTPS física e/ou digital; procedimentos de admissão, execução e rescisão do Contrato de Trabalho; registros em livros, fichas ou arquivos eletrônicos da Serventia; registro e pagamento do Fundo de Garantia por Tempo de Serviço (FGTS); registro e pagamento de contribuições previdenciárias; emissão de recibos de pagamento de salário, férias, décimo-terceiro salário, bônus e outros valores devidos ao colaborador; aquisição do vale-transporte; contratação de plano de assistência médica e/ou odontológica; registro e autorização de uso de sistemas internos, softwares e demais funcionalidades relativas à função; e criação e uso de e- mail corporativo;
3. Manter contato entre as partes, em razão da relação de trabalho e dos efeitos jurídicos dela decorrentes;
4. Manter a segurança das instalações da Serventia, evitando fraudes e quebras de confidencialidade.
3. Para as finalidades listadas acima, a Serventia poderá compartilhar os dados pessoais do colaborador com outros agentes de tratamento de dados, incluindo, mas não se limitando, aos seguintes destinatários:
1. escritório de contabilidade;
2. escritório de contabilidade de advocacia;
3. empresas prestadoras de serviços de software e gestão;
4. operadoras de planos de assistência médica e odontológica;
5. empresas emissoras de vale-transporte, vale-refeição e vale-alimentação;
6. instituições financeiras;
7. órgãos e entes públicos, tais como o Instituto Nacional de Seguro Social (INSS);
8. Ministério Público do Trabalho de Emprego (MPTE);
9. Serviços Especializados em Engenharia de Segurança e Medicina do Trabalho (SESMT).

DISPOSIÇÕES FINAIS
Esta política será revisada periodicamente para garantir que continue adequada e atualizada com as leis e regulamentos aplicáveis e com as melhores práticas do mercado.

CONCLUSÃO
A proteção de dados pessoais é uma obrigação legal e ética. Esta política estabelece as diretrizes para garantir que a nossa empresa cumpra as leis e regulamentos aplicáveis e proteja os direitos dos titulares dos dados.

Descrever o processo de atendimento às solicitações dos titulares no âmbito do OFÍCIO DE REGISTRO DE IMÓVEIS DE SABARÁ-MG, por meio do canal de atendimento do encarregado de proteção de dados pessoais.

Conforme a Lei Geral de Proteção de Dados (LGPD) e Provimento nº 134/2022/CNJ, todo titular de dados pessoais tem o direito de:

1. Questionar se a serventia possui algum dado pessoal do titular (confirmação de existência);
2. Requisitar acesso aos dados tratados pela serventia, por meio simplificado ou através de declaração completa quais informações a serventia possui sobre ele, bem como as finalidades e formas de tratamento
3. Ser informado sobre o andamento de suas solicitações;
4. Ser informado sobre os esforços que a serventia empenha para se manter em conformidade com seus deveres como agente de tratamento de dados;
5. Solicitar a alteração, atualização ou exclusão de seus dados pessoais, quando a lei permitir, respeitando procedimentos contemplados em leis específicas;
6. Solicitar atividades de tratamento

Diante disso, é dever da serventia, através do encarregado, responder às solicitações e manter registros do atendimento.

O encarregado deverá empregar esforços para responder às solicitações no mínimo tempo possível. O único prazo peremptório é o da declaração completa prevista no art. 19, II da LGPD, de 15 dias corridos, contados da data do requerimento do titular. Recomenda-se, porém, que este prazo seja considerado como parâmetro para atendimento de todas as solicitações.

Todo direito fundamentado exclusivamente na LGPD ou nos regulamentos de proteção de dados devem ser concedidos gratuitamente. Nas hipóteses em que a solicitação envolver atos típicos da atividade notarial e registral, os pedidos devem ser processados conforme requisições normais de serviço, com cobrança de emolumentos, sob pena de ofensa ao art. 30, VIII da Lei 8.935/1994.

As atividades do processo de atendimento ao titular de dados estão representadas no fluxograma a seguir:

Sempre que uma solicitação for realizada, o encarregado deve desde logo localizar o cadastro do titular no banco de dados do cartório (por exemplo, o sistema interno).

Em seguida, o encarregado deverá validar a identidade do requerente antes de atender qualquer tipo de solicitação, a fim de garantir a segurança dos titulares e evitar o compartilhamento indevido de dados pessoais. Para tal verificação, os seguintes métodos poderão ser utilizados:

1. Através de uma ligação (ou por atendimento presencial), e o encarregado pode confirmar, aleatoriamente, de 3 a 5 informações, conforme o cadastro do titular no sistema do cartório;
2. Solicitar o envio de algum tipo de documento via e-mail (ou atendimento no balcão), tal como Carteira de Identidade (“RG”), Carteira de Motorista (“CNH”), Certidão de Nascimento, Passaporte, dentre outros.
3. Solicitar a confirmação de uma mensagem por SMS (mensagem por celular), desde que no cadastro da serventia conste o telefone pessoal do titular (não pode ser passado no momento do pedido).

Caso não seja possível a identificação do titular, deve-se registrar a não validação da identidade e a consequente negativa de atendimento. Nesse caso, é importante manter registro das tentativas de contato, bem como as razões de ter sido frustrada a validação.

Quando validada a identidade, o encarregado avaliará a possibilidade jurídica de atender à solicitação, baseando-se nos requisitos legais e regulamentares. Constatada a justeza do pedido, encaminhará a demanda levando em consideração também as políticas internas aplicáveis. Se pertinente, a assessoria jurídica da serventia poderá ser consultada (ou mesmo outros fornecedores).

Quando a solicitação não guardar fundamento válido, o encarregado deve informar a negativa ao titular, fundamentando os motivos de tal impossibilidade. Quando houver tal fundamento, a solicitação deve ser atendida.

Por fim, quando for o caso, o encarregado deverá comunicar aos destinatários com os quais tenha compartilhado os dados do titular. Isso porque a efetividade do atendimento ao direito deve abranger todos os agentes de tratamento que tenham posse dos dados. Por exemplo, a eliminação de dados deverá ser implementada em todos os bancos de dados pertinentes, tanto da serventia, quanto de fornecedores (como contatores, bancas advocatícias e serviços de backup, por exemplo). Tal dever de comunicação apenas inexiste se a medida for comprovadamente impossível ou implique esforço desproporcional, o que deve ser verificado caso a caso.