00DIAS
00HORAS
00MIN
00SEG
Prazo para adequação das Etapas I e II do Provimento 213 (Classe III)

PROVIMENTO

N. 213/2026

Adeque-se com segurança

e sem atrasos, com o ICNR – Instituto de Compliance Notarial e Registral

Equipe Multidisciplinar certificada internacionalmente

Mais de 80 serventias atendidas em 15 estados.

Mais de 10 livros publicados na área de LGPD e Cartórios.

Quero saber mais
Quero me adequar o quanto antes!

Conheça seus consultores

João Rodrigo Stinghen

Profissional da área jurídica

- Membro da Comissão de Proteção de Dados da Corregedoria Nacional de Justiça (CPD/CN/CNJ).
- Membro da Comissão Especial de Direto Notarial e Registros Públicos da OAB/SP.
- DPO certificado pela EXIN.
- Especialista em direito digital e proteção de dados pela EBRADI.
- Professor convidado da Universidade Mackenzie.

Mariana Meireles Carregaro

Profissional das áreas jurídica e tecnológica

- Certificada pela Exin como DPO.
- Certificação em Direito Europeu de Dados Pessoais, pela Universidade de Paris – Panthéon - Sorbonne.
- Certificação de Auditoria e Gestão de Risco pela ABNT.
- Cursando pós-graduação em Compliance de Cibersegurança na PUC/RIO.
- Assessora ao DPO do IEPTB-Brasil.

João Guilherme Túlio

Profissional das áreas jurídica e de governança

- Coordenador Geral do Instituto Paranaense de Compliance.
- Membro da Comissões de Compliance da OAB/PR e de Proteção de Dados da OAB/SP.
- Integrante da Association of Corporate Counsel.
- Certificado em Compliance em Proteção de Dados (CPC-PD) pela Fundação Getulio Vargas (FGV).
- MBA em Governança e Compliance pelo CEDIN.

Gilberto Bedeschi

Profissional da áreas tecnológica

- Especialista em Gestão de Continuidade de Negócios, Gestão de Projetos, Segurança da Informação e Gestão de Riscos.
- Pós-graduado pela Fundação Dom Cabral e pela Fundação Getulio Vargas (FGV).
- Certificado em ISO 27701.
- Certificado em PCI-DSS (Payment Card Industry Data Security Standard).
- Certificação Project Management Professional (PMP).

Certificações da Equipe Multidisciplinar INCR

Ebradi
Sorbone
ISO 27001
ISO 27701
CIPM IAPP
DPO Exin
PMP

Livros Publicados pelos Juristas do ICNR

4- LGPD e Cartórios
7- Provimento 134 comentado
10- Comentários ao Código Nacional de Normas
9- Cartórios, Compliance e Transformação Digital
3- Proteção de Dados e Investigação Criminal
6- DPO - Encarregado de Dados
5- LGPD no Direito do Trabalho
8- Direito Notarial e Registral
fundo 3 (1)

Provimento 213 x Provimento 74

O que mudou ?

O Provimento 213 traz uma reescrita completa das regras de tecnologia e segurança da informação para cartórios.

O novo Provimento abandona o modelo de tecnologia estática, em que bastava tomar uma medida e demonstrá-la.

Agora, existe a necessidade de demonstrar a eficácia prática das medidas ao longo do tempo. É o que chamamos de governança de dados.

Este provimento aprofunda a cobrança proporcional aos cartórios maiores, cujas  obrigações são mais robustas e com prazos mais curtos.

Qual o prazo para adequação?

O cumprimento é dividido em duas fases: uma implementação inicial obrigatória (Etapas 1 e 2) e uma implementação integral progressiva (Etapas 1 a 5). Perder o prazo pode significar responsabilização disciplinar, civil e penal (art. 24). 

Classe 1
Arrecadação bruta semestral
Até R$ 100.000,00
Subclasses
A, B e C
Prazo Etapas 1 e 2
210 dias
Prazo Etapas 3 a 5
36 meses
Classe 2
Arrecadação bruta semestral
De R$ 100.000,01 a R$ 500.000,00
Subclasses
D, E e F
Prazo Etapas 1 e 2
150 dias
Prazo Etapas 3 a 5
30 meses
Classe 3
Arrecadação bruta semestral
Acima de R$ 500.000,00
Subclasses
G, H, I e J
Prazo Etapas 1 e 2
90 dias
Prazo Etapas 3 a 5
24 meses
As Corregedorias estaduais podem prorrogar os prazos das Etapas 1 e 2 por até 90 dias, uma única vez, mediante decisão fundamentada. Mas é preciso apresentar plano formal de adequação e adotar medidas compensatórias imediatas (art. 21). Quem não cumpria sequer o Provimento 74 precisa de atenção redobrada, pois o pedido deve mencionar as pendências do Provimento anterior.
Quero me adequar com segurança

Provimento 213

Quais são os prazos?.

O cumprimento é dividido em duas fases: uma implementação inicial obrigatória (Etapas 1 e 2) e uma implementação integral progressiva (Etapas 1 a 5).

Prazo para as Etapas 1 e 2 (governança, infraestrutura e PCN/PRD)
Classe 3
90 dias
Classe 2
150 dias
Classe 1
210 dias
Prazo para implementação integral (todas as 5 etapas)
Classe 3
24 meses
Classe 2
30 meses
Classe 1
36 meses
As Corregedorias estaduais podem prorrogar os prazos das Etapas 1 e 2 por até 90 dias, uma única vez, mediante decisão fundamentada. Mas é preciso apresentar plano formal de adequação e adotar medidas compensatórias imediatas (art. 21). Quem não cumpria sequer o Provimento 74 precisa de atenção redobrada, pois o pedido deve mencionar as pendências do Provimento anterior.

Provimento 213

RPO e RTO: o que significam na prática?

Esses dois parâmetros definem, respectivamente, quanto de dados você pode perder e quanto tempo pode ficar parado em caso de incidente.

RPO (Recovery Point Objective): é a “janela de perda”. Se o RPO é de 4 horas, em caso de pane você pode perder, no máximo, 4 horas de trabalho.

RTO (Recovery Time Objective): é o “tempo para voltar a funcionar”. Se o RTO é de 8 horas, o cartório precisa estar operacional novamente em até 8 horas.

RPO (perda máxima)
Classe 3
4 horas
Classe 2
12 horas
Classe 1
24 horas
RTO (voltar a operar)
Classe 3
8 horas
Classe 2
24 horas
Classe 1
24 horas
Backup completo
Classe 3
A cada 24h
Classe 2
A cada 48h
Classe 1
A cada 72h
Teste de restauração
Classe 3
Semestral
Classe 2
Anual
Classe 1
Anual
Quero me adequar com segurança

Provimento 213

O que fazer em cada etapa?

As cinco etapas são sequenciais e cumulativas. Não é possível declarar concluída uma etapa posterior sem ter cumprido integralmente a anterior. A cada etapa concluída, deve-se registrar a conclusão no Sistema Justiça Aberta.

Quero me adequar com segurança
Objetivo: criar a base organizacional e normativa do cartório.
  • Designar responsável técnico pela implementação, o controlador de dados (o próprio titular) e o DPO, quando aplicável.
  • Elaborar e divulgar internamente a Política de Segurança da Informação (conteúdo mínimo no Anexo III).
  • Implementar autenticação individualizada e multifator (MFA) para acessos administrativos. Credenciais compartilhadas estão proibidas.
  • Criar registro das operações de tratamento de dados pessoais (LGPD).
  • Fazer inventário completo dos ativos tecnológicos: equipamentos, softwares, bancos de dados, certificados digitais, contratos.
  • Regularizar licenças de software e revisar todos os contratos com fornecedores de TI, incluindo cláusulas de confidencialidade, reversibilidade, portabilidade e conformidade com a LGPD.
  • Firmar declaração de conclusão e registrar no Justiça Aberta.
Objetivo: garantir condições físicas e técnicas de funcionar e se recuperar.
  • Infraestrutura elétrica adequada: aterramento técnico e nobreak (SAI/UPS) com autonomia recomendada de 30 minutos.
  • Ambiente físico protegido para equipamentos críticos, com controle de acesso.
  • Conectividade compatível com a classe (referência: Classe 1 = 2 Mbps; Classe 2 = 10 Mbps; Classe 3 = 50 Mbps).
  • Formalizar o PCN (Plano de Continuidade de Negócios) e o PRD (Plano de Recuperação de Desastres), com RTO e RPO definidos.
  • Instalar antivírus/antimalware em todas as estações e servidores.
  • Documentar a arquitetura tecnológica (topologia de rede, ambientes utilizados, fluxos de dados, localização dos backups).
Objetivo: proteger efetivamente os dados contra perda, interceptação e comprometimento.
  • Criptografia para dados em trânsito (TLS 1.2+) e em repouso (AES-256 ou equivalente), inclusive nos backups.
  • Rotinas automatizadas de backup completo e incremental, com armazenamento em pelo menos dois ambientes independentes.
  • Firewall com IPS/IDS e segmentação lógica de rede.
  • Trilhas de auditoria imutáveis, com sincronização de tempo e retenção mínima de 5 anos.
Objetivo: testar na prática se tudo funciona e manter gestão contínua de riscos.
  • Relatório de conformidade das trilhas de auditoria.
  • Gestão formal de vulnerabilidades: vulnerabilidades críticas corrigidas em até 30 dias; se houver exploração ativa, contenção em até 72 horas.
  • Simulação anual de desastre para validar PCN e PRD.
  • Testes documentados de restauração de backups (semestral para Classe 3; anual para Classes 1 e 2).
  • Para Classe 3: teste de intrusão (pentest) a cada 2 anos, no mínimo.
Objetivo: integrar o cartório ao ecossistema de fiscalização e garantir evolução contínua.
  • Sistemas compatíveis com plataformas eletrônicas de fiscalização.
  • Padrões abertos e neutralidade tecnológica — evitar dependência de fornecedor único.
  • Capacitação periódica dos colaboradores, com registro formal.
  • Simulação documentada de extração integral do acervo (portabilidade), com periodicidade vinculada à classe.
  • Revisão contínua da Política de Segurança e dos padrões criptográficos.

Pontos de atenção

Proibições expressas

O Provimento veda expressamente diversas práticas que, infelizmente, ainda são comuns em muitas serventias:

Credenciais compartilhadas: cada usuário deve ter login individual. Contas genéricas tipo "recepcao" ou "atendimento" estão proibidas (art. 5º, §2º).

Sistemas sem suporte (EOL): software cujo fabricante encerrou o suporte não pode ser utilizado para fins de conformidade (art. 4º, §3º). Isso inclui Windows 10, Windows Server 2012 e versões antigas de bancos de dados.

Responsabilidade pessoal do titular

O Provimento é categórico: a responsabilidade pelo cumprimento é pessoal e indelegável, mesmo quando a serventia utiliza solução contratada, compartilhada ou coletiva (arts. 5º, §1º; 13, §3º; 14).

Cada declaração de conclusão de etapa deve ser assinada pelo titular, interino ou interventor.

A declaração falsa no Justiça Aberta gera responsabilização direta do titular (art. 17, §2º). A fiscalização será orientada por risco e cruzamento de dados (art. 25).

Contratos com fornecedores

Todos os contratos com empresas de TI devem conter cláusulas específicas de confidencialidade, reversibilidade, portabilidade de dados em formato interoperável e não proprietário, documentação técnica para migração, gestão de incidentes e conformidade com a LGPD (item 1.8 do Anexo IV).

Essa revisão contratual já integra a Etapa 1.

Comunicação de incidentes

Incidentes críticos devem ser comunicados à Corregedoria competente em até 72 horas.

Quando houver risco de indisponibilidade prolongada, comprometimento de dados pessoais ou impacto sistêmico (itens 1.5 e 1.6 do Anexo IV), a meta é de 24 horas .

Provimento 213

Soluções coletivas e operadores nacionais

O Provimento reconhece expressamente a possibilidade de cumprimento dos requisitos técnicos por meio de plataformas nacionais estruturadas, soluções coletivas ou ambientes mantidos por entidades representativas de notários e registradores ou por Operadores Nacionais (art. 13, §§4º a 7º).

Na prática, isso significa que a validação técnica estrutural realizada uma única vez pela entidade mantenedora produz efeito para todas as serventias usuárias, cabendo à fiscalização individual apenas os controles locais (governança, gestão de acessos e integração operacional).

Provimento 213

Facilidades para serventias de Classe 1

O Provimento dedicou atenção especial às serventias de menor porte, reconhecendo suas limitações:

Quero me adequar com segurança

Documentação simplificada:

Dispensa de dossiê técnico estruturado. Basta declaração de conformidade no Justiça Aberta acompanhada de contratos, notas fiscais e relatório simplificado (Anexo IV, VI).

Alta disponibilidade não obrigatória:

Não se exige redundância simultânea de links nem duplicação integral de infraestrutura, desde que o RTO e RPO sejam atendidos com backup testado e procedimento documentado (Anexo I, 2.1).

Prorrogação simplificada:

O pedido de prorrogação de prazo será submetido a análise simplificada pela Corregedoria (art. 21, §1º).

Velocidade de internet referencial:

a referência mínima é de 2 Mbps, mas o que importa é a demonstração de que o backup e a sincronização atendem o RPO, independentemente da largura de banda nominal.

Checklist de primeiras providências

Independentemente da classe, as seguintes ações devem ser iniciadas imediatamente:

1
Ação recomendada
Identificar a classe de enquadramento da serventia
Prazo estimado
Imediato
2
Ação recomendada
Designar responsável técnico interno pela implementação
Prazo estimado
Imediato
3
Ação recomendada
Eliminar credenciais compartilhadas e implementar MFA
Prazo estimado
Imediato
4
Ação recomendada
Verificar sistemas ou softwares em EOL (sem suporte)
Prazo estimado
Imediato
5
Ação recomendada
Levantar contratos de TI e verificar cláusulas exigidas
Prazo estimado
Semana 1
6
Ação recomendada
Iniciar elaboração da Política de Segurança da Informação
Prazo estimado
Semana 1
7
Ação recomendada
Elaborar inventário de ativos tecnológicos
Prazo estimado
Semana 2
8
Ação recomendada
Contratar laudo de aterramento elétrico, se inexistente
Prazo estimado
Semana 2
9
Ação recomendada
Verificar e documentar a arquitetura de backup atual
Prazo estimado
Semana 2
10
Ação recomendada
Iniciar formalização do PCN e PRD
Prazo estimado
Semana 3

Conclusão

O Provimento 213/2026 representa um avanço significativo na regulação tecnológica das serventias extrajudiciais.

Ao adotar o sistema de classes, respeita a realidade econômica de cada cartório sem abrir mão da segurança.

O momento exige ação.

Os prazos são reais, a fiscalização será orientada por risco e as declarações no Justiça Aberta têm consequências jurídicas.

A melhor estratégia é começar pelas providências das Etapas 1 e 2 — que são mias urgentes— e avançar progressivamente.

Clique no botão abaixo para fazer sua aplicação e reservar sua vaga para uma sessão estratégica:

Reservar minha vaga

Nessa sessão, vamos avaliar a situação da sua serventia e apresentar a forma menos onerosa para ficar adequado dentro do prazo.

2026 © Todos os direitos reservados – Política de Privacidade