Provimento
213/26 impõe governança digital estruturada aos cartórios, com auditoria,
segurança técnica e responsabilidade comprovável.
A
publicação do provimento 213/26, pelo
CNJ representa uma inflexão regulatória relevante para as serventias
extrajudiciais brasileiras.
Ao
revogar integralmente o provimento 74, o CNJ abandona um modelo
predominantemente declaratório e inaugura um ciclo normativo centrado em
governança estruturada, segurança técnica comprovável e cultura de auditoria
contínua.
Não
se trata de mera atualização tecnológica. O novo texto normativo consolida uma
lógica sistêmica de responsabilização, alinhada às exigências contemporâneas de
proteção de dados, continuidade operacional e resiliência digital. Em termos
práticos, o cartório deixa de ser visto apenas como depositário do acervo
físico-digital e passa a ser reconhecido como ambiente crítico de
infraestrutura informacional.
O
provimento estrutura-se em cinco etapas progressivas. As duas primeiras, de
implementação obrigatória imediata, concentram-se na formalização da governança
e na infraestrutura mínima necessária à continuidade dos serviços. Exige-se
designação formal de responsável técnico interno, identificação do controlador
de dados e nomeação de encarregado (quando aplicável), além da elaboração de
política interna de segurança da informação. A vedação expressa de credenciais
compartilhadas e a imposição de autenticação multifator para acessos críticos
sinalizam maturidade normativa em matéria de controle de acesso.
No
campo da infraestrutura, o texto é igualmente assertivo: estabilidade elétrica
com UPS, ambiente físico protegido contra incêndio e variações térmicas,
conectividade compatível com a classe da serventia e formalização de PCN -
Plano de Continuidade de Negócios e PRD - Plano de Recuperação de Desastres,
com definição de RTO e RPO. A exigência de documento técnico simplificado da
arquitetura tecnológica evidencia a preocupação com rastreabilidade e
transparência estrutural.
A
terceira etapa eleva o padrão técnico ao exigir criptografia em trânsito (TLS
1.2 ou superior) e, para dados críticos, criptografia em repouso equivalente a
AES-256 ou superior. A política de backups deve contemplar cópias completas e
incrementais, armazenadas em dois ambientes independentes, sendo ao menos um
protegido contra exclusão maliciosa. Firewall com IDS/IPS, segmentação lógica e
trilhas de auditoria imutáveis completam o núcleo de proteção do acervo
digital.
Já
a quarta etapa consolida a cultura de monitoramento contínuo. Estabelece prazos
objetivos para correção de vulnerabilidades - até 30 dias para críticas sem
exploração ativa e até 72 horas em caso de risco iminente - além da
obrigatoriedade de testes documentados de restauração e simulação anual de
desastre. Para serventias de Classe 3, impõe-se teste de intrusão (pentest) ao
menos a cada dois anos, reforçando o compromisso com avaliação técnica
independente.
A
quinta etapa projeta a governança para o futuro. Prevê interoperabilidade com
plataformas de fiscalização, uso de padrões abertos, capacitação periódica
formalmente registrada e manutenção de registros auditáveis por cinco anos.
Destaca-se a exigência de plano formal de reversibilidade e portabilidade do
acervo, com simulação documentada de extração integral, mecanismo essencial
para evitar dependência excessiva de fornecedores e assegurar continuidade
institucional.
Os
prazos são escalonados conforme a classificação da serventia. As etapas 1 e 2
devem ser implementadas em até 90, 150 ou 210 dias, a depender da classe. A
implementação integral das cinco etapas deverá ocorrer em até 24, 30 ou 36
meses. O cronograma progressivo revela estratégia regulatória que combina
urgência inicial com maturidade evolutiva.
Sob
perspectiva jurídica, o provimento 213/26 reforça a convergência entre o regime
extrajudicial e os princípios da Lei Geral de Proteção de Dados, especialmente
quanto à responsabilização, registro das operações de tratamento, segurança da
informação e mitigação de riscos. Ao exigir documentação formal, testes
periódicos e declarações no Sistema Justiça Aberta, o CNJ consolida modelo
probatório, no qual a conformidade deve ser demonstrável.
O
novo marco impõe às serventias postura proativa: realização de diagnóstico
técnico (gap analysis), revisão contratual com fornecedores de tecnologia,
estruturação de cronograma por etapa e consolidação documental organizada. A
omissão deixa de ser apenas fragilidade operacional e passa a representar risco
regulatório.
Mais
do que adequação tecnológica, o provimento 213/26 exige mudança cultural. A
governança digital dos cartórios deixa de ser acessória e assume papel central
na legitimidade institucional do serviço extrajudicial. Em um cenário de
crescente digitalização e exposição a incidentes cibernéticos, proteger o
acervo é proteger a própria fé pública.
O
desafio está posto. A resposta, agora, depende da capacidade de transformar
norma em prática estruturada e permanente.
Escrito
por William Roch, professor e especialista em Direito Digital
Fonte:
Migalhas
