Por William Rocha – Sócio do escritório Terra Rocha Advogados e Diretor de Inclusão Digital e Inovação da OAB-RJ – Colunista convidado.
A publicação do Provimento 213/2026, pelo Conselho Nacional de Justiça representa uma inflexão regulatória relevante para as serventias extrajudiciais brasileiras.
Ao revogar integralmente o Provimento 74, o CNJ abandona um modelo predominantemente declaratório e inaugura um ciclo normativo centrado em governança estruturada, segurança técnica comprovável e cultura de auditoria contínua.
Não se trata de mera atualização tecnológica. O novo texto normativo consolida uma lógica sistêmica de responsabilização, alinhada às exigências contemporâneas de proteção de dados, continuidade operacional e resiliência digital. Em termos práticos, o cartório deixa de ser visto apenas como depositário do acervo físico-digital e passa a ser reconhecido como ambiente crítico de infraestrutura informacional.
O Provimento estrutura-se em cinco etapas progressivas. As duas primeiras, de implementação obrigatória imediata, concentram-se na formalização da governança e na infraestrutura mínima necessária à continuidade dos serviços. Exige-se designação formal de responsável técnico interno, identificação do controlador de dados e nomeação de encarregado (quando aplicável), além da elaboração de Política Interna de Segurança da Informação. A vedação expressa de credenciais compartilhadas e a imposição de autenticação multifator para acessos críticos sinalizam maturidade normativa em matéria de controle de acesso.
No campo da infraestrutura, o texto é igualmente assertivo: estabilidade elétrica com UPS, ambiente físico protegido contra incêndio e variações térmicas, conectividade compatível com a classe da serventia e formalização de Plano de Continuidade de Negócios (PCN) e Plano de Recuperação de Desastres (PRD), com definição de RTO e RPO. A exigência de documento técnico simplificado da arquitetura tecnológica evidencia a preocupação com rastreabilidade e transparência estrutural.
A terceira etapa eleva o padrão técnico ao exigir criptografia em trânsito (TLS 1.2 ou superior) e, para dados críticos, criptografia em repouso equivalente a AES-256 ou superior. A política de backups deve contemplar cópias completas e incrementais, armazenadas em dois ambientes independentes, sendo ao menos um protegido contra exclusão maliciosa. Firewall com IDS/IPS, segmentação lógica e trilhas de auditoria imutáveis completam o núcleo de proteção do acervo digital.
Já a quarta etapa consolida a cultura de monitoramento contínuo. Estabelece prazos objetivos para correção de vulnerabilidades — até 30 dias para críticas sem exploração ativa e até 72 horas em caso de risco iminente — além da obrigatoriedade de testes documentados de restauração e simulação anual de desastre. Para serventias de Classe 3, impõe-se teste de intrusão (pentest) ao menos a cada dois anos, reforçando o compromisso com avaliação técnica independente.
A quinta etapa projeta a governança para o futuro. Prevê interoperabilidade com plataformas de fiscalização, uso de padrões abertos, capacitação periódica formalmente registrada e manutenção de registros auditáveis por cinco anos. Destaca-se a exigência de plano formal de reversibilidade e portabilidade do acervo, com simulação documentada de extração integral, mecanismo essencial para evitar dependência excessiva de fornecedores e assegurar continuidade institucional.
Os prazos são escalonados conforme a classificação da serventia. As Etapas 1 e 2 devem ser implementadas em até 90, 150 ou 210 dias, a depender da classe. A implementação integral das cinco etapas deverá ocorrer em até 24, 30 ou 36 meses. O cronograma progressivo revela estratégia regulatória que combina urgência inicial com maturidade evolutiva.
Sob perspectiva jurídica, o Provimento 213/2026 reforça a convergência entre o regime extrajudicial e os princípios da Lei Geral de Proteção de Dados, especialmente quanto à responsabilização, registro das operações de tratamento, segurança da informação e mitigação de riscos. Ao exigir documentação formal, testes periódicos e declarações no Sistema Justiça Aberta, o CNJ consolida modelo probatório, no qual a conformidade deve ser demonstrável.
O novo marco impõe às serventias postura proativa: realização de diagnóstico técnico (gap analysis), revisão contratual com fornecedores de tecnologia, estruturação de cronograma por etapa e consolidação documental organizada. A omissão deixa de ser apenas fragilidade operacional e passa a representar risco regulatório.
Mais do que adequação tecnológica, o Provimento 213/2026 exige mudança cultural. A governança digital dos cartórios deixa de ser acessória e assume papel central na legitimidade institucional do serviço extrajudicial. Em um cenário de crescente digitalização e exposição a incidentes cibernéticos, proteger o acervo é proteger a própria fé pública.
O desafio está posto. A resposta, agora, depende da capacidade de transformar norma em prática estruturada e permanente.
Não se trata de mera atualização tecnológica. O novo texto normativo consolida uma lógica sistêmica de responsabilização, alinhada às exigências contemporâneas de proteção de dados, continuidade operacional e resiliência digital. Em termos práticos, o cartório deixa de ser visto apenas como depositário do acervo físico-digital e passa a ser reconhecido como ambiente crítico de infraestrutura informacional.
O Provimento estrutura-se em cinco etapas progressivas. As duas primeiras, de implementação obrigatória imediata, concentram-se na formalização da governança e na infraestrutura mínima necessária à continuidade dos serviços. Exige-se designação formal de responsável técnico interno, identificação do controlador de dados e nomeação de encarregado (quando aplicável), além da elaboração de Política Interna de Segurança da Informação. A vedação expressa de credenciais compartilhadas e a imposição de autenticação multifator para acessos críticos sinalizam maturidade normativa em matéria de controle de acesso.
No campo da infraestrutura, o texto é igualmente assertivo: estabilidade elétrica com UPS, ambiente físico protegido contra incêndio e variações térmicas, conectividade compatível com a classe da serventia e formalização de Plano de Continuidade de Negócios (PCN) e Plano de Recuperação de Desastres (PRD), com definição de RTO e RPO. A exigência de documento técnico simplificado da arquitetura tecnológica evidencia a preocupação com rastreabilidade e transparência estrutural.
A terceira etapa eleva o padrão técnico ao exigir criptografia em trânsito (TLS 1.2 ou superior) e, para dados críticos, criptografia em repouso equivalente a AES-256 ou superior. A política de backups deve contemplar cópias completas e incrementais, armazenadas em dois ambientes independentes, sendo ao menos um protegido contra exclusão maliciosa. Firewall com IDS/IPS, segmentação lógica e trilhas de auditoria imutáveis completam o núcleo de proteção do acervo digital.
Já a quarta etapa consolida a cultura de monitoramento contínuo. Estabelece prazos objetivos para correção de vulnerabilidades — até 30 dias para críticas sem exploração ativa e até 72 horas em caso de risco iminente — além da obrigatoriedade de testes documentados de restauração e simulação anual de desastre. Para serventias de Classe 3, impõe-se teste de intrusão (pentest) ao menos a cada dois anos, reforçando o compromisso com avaliação técnica independente.
A quinta etapa projeta a governança para o futuro. Prevê interoperabilidade com plataformas de fiscalização, uso de padrões abertos, capacitação periódica formalmente registrada e manutenção de registros auditáveis por cinco anos. Destaca-se a exigência de plano formal de reversibilidade e portabilidade do acervo, com simulação documentada de extração integral, mecanismo essencial para evitar dependência excessiva de fornecedores e assegurar continuidade institucional.
Os prazos são escalonados conforme a classificação da serventia. As Etapas 1 e 2 devem ser implementadas em até 90, 150 ou 210 dias, a depender da classe. A implementação integral das cinco etapas deverá ocorrer em até 24, 30 ou 36 meses. O cronograma progressivo revela estratégia regulatória que combina urgência inicial com maturidade evolutiva.
Sob perspectiva jurídica, o Provimento 213/2026 reforça a convergência entre o regime extrajudicial e os princípios da Lei Geral de Proteção de Dados, especialmente quanto à responsabilização, registro das operações de tratamento, segurança da informação e mitigação de riscos. Ao exigir documentação formal, testes periódicos e declarações no Sistema Justiça Aberta, o CNJ consolida modelo probatório, no qual a conformidade deve ser demonstrável.
O novo marco impõe às serventias postura proativa: realização de diagnóstico técnico (gap analysis), revisão contratual com fornecedores de tecnologia, estruturação de cronograma por etapa e consolidação documental organizada. A omissão deixa de ser apenas fragilidade operacional e passa a representar risco regulatório.
Mais do que adequação tecnológica, o Provimento 213/2026 exige mudança cultural. A governança digital dos cartórios deixa de ser acessória e assume papel central na legitimidade institucional do serviço extrajudicial. Em um cenário de crescente digitalização e exposição a incidentes cibernéticos, proteger o acervo é proteger a própria fé pública.
O desafio está posto. A resposta, agora, depende da capacidade de transformar norma em prática estruturada e permanente.
About the Author
