Provimento CNJ 149, de 30/08/2023, art. 85

Seção III - DO MAPEAMENTO DAS ATIVIDADES DE TRATAMENTO (Ir para)

- O mapeamento de dados consiste na atividade de identificar o banco de dados da serventia, os dados pessoais objeto de tratamento e o seu ciclo de vida, incluindo todas as operações de tratamento a que estão sujeitos, como a coleta, o armazenamento, o compartilhamento, o descarte e quaisquer outras operações às quais os dados pessoais estejam sujeitos.

§ 1º - O produto final da atividade de mapeamento será denominado [Inventário de Dados Pessoais], devendo o responsável pela serventia:

I - garantir que o inventário de dados pessoais contenha os registros e fluxos de tratamento dos dados com base na consolidação do mapeamento e das decisões tomadas a respeito de eventuais vulnerabilidades encontradas, que conterão informações sobre:

a) finalidade do tratamento;

b) categorias de dados pessoais e descrição dos dados utilizados nas respectivas atividades;

c) identificação das formas de obtenção/coleta dos dados pessoais;

d) base legal;

e) descrição da categoria dos titulares;

f) se há compartilhamento de dados com terceiros, identificando eventual transferência internacional;

g) categorias de destinatários, se houver;

h) prazo de conservação dos dados; e

i) medidas de segurança organizacionais e técnicas adotadas.

II - elaborar plano de ação para a implementação dos novos processos, dos procedimentos, dos controles e das demais medidas internas, incluindo a revisão e criação de documentos, bem como as formas de comunicação com os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), quando necessária;

III - conduzir a avaliação das vulnerabilidades (gap assessment) para análise de lacunas em relação à proteção de dados pessoais no que se refere às atividades desenvolvidas na serventia;

IV - tomar decisões diante das vulnerabilidades encontradas e implementar as adequações necessárias e compatíveis com a tomada de decisões;

V - atualizar, sempre que necessário, não podendo ultrapassar um ano,o inventário de dados; e

VI - arquivar o inventário de dados pessoais na serventia e disponibilizá- lo em caso de solicitação da Corregedoria-Geral da Justiça (CGJ), da Autoridade Nacional de Proteção de Dados Pessoais ou de outro órgão de controle.

§ 2º - O responsável pela serventia extrajudicial poderá utilizar formulários e programas de informática adaptados para cada especialidade de serventia para o registro do fluxo dos dados pessoais, abrangendo todas as fases do seu ciclo de vida durante o tratamento, tais como coleta, armazenamento e compartilhamento, eventualmente disponibilizados por associações de classe dos notários e dos registradores.