Guia do Provimento CNJ 213/2026: o que é, prazos, classes e como se adequar

Publicado em 13 de julho de 2026Atualizado em 13 de julho de 2026Leitura: ~15 min

O Provimento CNJ nº 213/2026 é a norma do Conselho Nacional de Justiça, publicada em 20 de fevereiro de 2026, que obriga todas as serventias extrajudiciais brasileiras — cartórios de registro civil, notas, imóveis, protesto, títulos e documentos — a implantar controles mínimos de segurança da informação, continuidade de negócios, gestão de incidentes e proteção de dados pessoais. Ele substitui e amplia o Provimento CNJ 74/2018, estabelece prazos escalonados por classe de receita (art. 16) e institui a comprovação contínua da conformidade por meio de dossiê técnico apresentado à corregedoria.

1. O que é o Provimento 213/2026

O Provimento 213 é um ato normativo da Corregedoria Nacional de Justiça, órgão do CNJ, que padroniza os requisitos técnicos e administrativos de segurança da informação (SI), continuidade de negócios (BCM), gestão de incidentes e proteção de dados pessoais para o extrajudicial brasileiro. Diferentemente do Provimento 74/2018, que trazia diretrizes gerais, o 213 detalha requisitos verificáveis, exige documentação formal e institui uma trilha de comprovação anual.

A norma se aplica a mais de 13 mil serventias no Brasil e responsabiliza pessoalmente o titular delegatário pela adequação. A conformidade é contínua: não basta cumprir uma vez — é preciso manter, testar e revisar periodicamente os controles.

Base legal consolidada: Provimento CNJ 213/2026 — texto oficial.

2. O que muda em relação ao Provimento 74/2018

O Provimento 74/2018 foi o primeiro esforço estruturado do CNJ para exigir controles de TI no extrajudicial, mas era genérico e pouco fiscalizado. O Provimento 213 muda essa lógica em cinco frentes:

  • Documentos formais obrigatórios: PSI, PCN, PRD, ROPA e inventário de ativos passam a ser exigíveis (antes eram recomendados).
  • Papéis designados: RTI (Responsável pela TI), Controlador de Dados e DPO precisam ser nomeados por ato do titular.
  • Dossiê técnico: criado como instrumento único de comprovação, apresentado ao CNJ via Justiça Aberta (art. 17).
  • Prazo de 72 horas: notificação obrigatória de incidentes de segurança à corregedoria e à ANPD, quando envolver dados pessoais.
  • Sanções administrativas: o art. 24 vincula o descumprimento a procedimento disciplinar da corregedoria competente.

3. As classes e subclasses (art. 16)

O art. 16 do Provimento 213 classifica cada serventia pela receita bruta semestral. A classe determina o prazo de adequação e a intensidade dos controles exigidos — serventias maiores têm menos tempo e obrigações mais estritas.

ClasseReceita bruta semestralPrazo Etapas 1 e 2 (art. 20)Conformidade integral (art. 23)
Classe 1Até R$ 100 mil210 dias36 meses
Classe 2Acima de R$ 100 mil até R$ 500 mil150 dias30 meses
Classe 3Acima de R$ 500 mil90 dias24 meses

A classificação é reavaliada a cada semestre. Se a receita muda de faixa, o cartório passa a se enquadrar na nova classe no semestre subsequente, mas os controles já implantados são mantidos.

4. Os dois prazos do Provimento 213 (arts. 20 e 23)

O Provimento estabelece dois marcos temporais distintos, contados sempre a partir de 20 de fevereiro de 2026:

Art. 20 — Etapas 1 e 2 (Governança e Infraestrutura)

  • Classe 3: 90 dias → prazo até 21/05/2026.
  • Classe 2: 150 dias → prazo até 20/07/2026.
  • Classe 1: 210 dias → prazo até 18/09/2026.

Art. 23 — Conformidade integral

  • Classe 3: 24 meses → até fevereiro de 2028.
  • Classe 2: 30 meses → até agosto de 2028.
  • Classe 1: 36 meses → até fevereiro de 2029.
Após atingir a conformidade integral, a manutenção é contínua: testes de restauração de backup, revisões da PSI, tabletop exercises do PCN, atualização anual do inventário e reavaliação de riscos. Não há “projeto concluído”.
Descubra sua classe e seu prazo em 10 minutos

Diagnóstico gratuito, sem cadastro, com base legal em cada resposta.

Fazer diagnóstico gratuito

5. As 5 etapas do Anexo IV explicadas

O Anexo IV organiza os 43 requisitos verificáveis em cinco etapas sequenciais. Cada etapa tem entregáveis próprios e alimenta o dossiê técnico.

Etapa 1 — Governança

Designações formais (RTI, Controlador, DPO), aprovação da Política de Segurança da Informação (PSI), definição do escopo, inventário inicial de ativos e sistemas, matriz de responsabilidades. É a etapa fundacional — sem ela, as demais não avançam.

Etapa 2 — Infraestrutura

MFA em todos os sistemas críticos e e-mail institucional, segmentação de rede, firewall gerenciado, antivírus/EDR corporativo, atualização de sistemas operacionais, backup off-site criptografado com testes de restauração documentados.

Etapa 3 — Segurança da Informação

Controle de acesso por perfil (least privilege), gestão de senhas, logs de acesso e alteração preservados por 5 anos em local segregado, procedimento de admissão e desligamento de colaboradores, treinamento anual de conscientização.

Etapa 4 — Proteção de Dados (LGPD)

ROPA (Registro de Operações de Tratamento), base legal de cada tratamento, canal para titulares de dados, procedimento de resposta a incidentes com notificação em 72h à ANPD e à corregedoria, contratos com operadores.

Etapa 5 — Continuidade e Recuperação

PCN (Plano de Continuidade de Negócios) e PRD (Plano de Recuperação de Desastres) formais, RTO/RPO definidos por processo crítico, testes anuais tabletop, plano de comunicação de crise e procedimento de failover.

6. Documentos obrigatórios

A norma exige um conjunto mínimo de documentos formais, aprovados pelo titular e revisados anualmente:

  • PSI — Política de Segurança da Informação: princípios, escopo, papéis, regras de uso aceitável, sanções internas.
  • PCN — Plano de Continuidade de Negócios: processos críticos, RTO/RPO, estratégias de continuidade, plano de testes.
  • PRD — Plano de Recuperação de Desastres: cenários, procedimentos técnicos de recuperação, equipe, comunicação.
  • ROPA — Registro de Operações de Tratamento (LGPD): cada tratamento de dado pessoal com finalidade, base legal, retenção, compartilhamentos.
  • Inventário de ativos: equipamentos, sistemas, licenças, responsáveis, criticidade.
  • Designações formais: ato do titular nomeando RTI, Controlador e DPO.

7. O dossiê técnico e o Justiça Aberta

O art. 17, combinado com o Anexo IV, cria o dossiê técnico de conformidade — documento consolidado que reúne PSI, PCN, PRD, inventário, evidências das etapas concluídas e resultados dos testes periódicos. O dossiê é apresentado à corregedoria competente e alimentado no sistema Justiça Aberta do CNJ para monitoramento nacional.

Cada etapa concluída gera um snapshot do dossiê. As corregedorias podem solicitá-lo a qualquer momento, especialmente após incidentes ou reclamações.

8. Gestão de incidentes e o prazo de 72 horas

O Provimento 213 exige procedimento formal de resposta a incidentes de segurança. Todo incidente relevante — vazamento, ransomware, indisponibilidade prolongada, acesso indevido — deve ser:

  1. Registrado em log imutável com data, hora, natureza e impacto estimado.
  2. Notificado em até 72 horas à corregedoria competente e, se envolver dados pessoais, à ANPD (art. 48 da LGPD).
  3. Comunicado aos titulares afetados quando houver risco relevante.
  4. Documentado em relatório de causa raiz com plano de ação corretiva anexado ao dossiê.
O prazo de 72h começa a contar do conhecimento do incidente pelo titular ou pelo RTI, não do momento em que ele ocorreu. Ter um procedimento pronto (fluxo, contatos, modelos) é decisivo.

9. O que acontece se o cartório não cumprir (art. 24)

O art. 24 estabelece que o descumprimento do Provimento 213 pode ensejar procedimento disciplinar pela corregedoria competente contra o titular delegatário. Não há multa fixa prevista na norma, mas as sanções disciplinares do regime notarial e registral (advertência, censura, multa, suspensão e perda da delegação) permanecem aplicáveis.

A isso se somam as sanções administrativas da LGPD (art. 52), aplicadas pela ANPD em caso de incidente com dados pessoais: advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), publicização, suspensão do tratamento e proibição parcial ou total de atividades relacionadas ao tratamento.

Na prática, a maior exposição não é a multa direta, mas a responsabilização pessoal do titular em processo disciplinar após incidente ou reclamação, quando fica evidenciado que os controles mínimos não foram implantados.

10. Como começar

A adequação ao Provimento 213 combina decisão de gestão, execução técnica e organização documental. Um roteiro pragmático:

  1. Confirmar a classe pela receita bruta semestral (art. 16) e calcular o prazo do art. 20.
  2. Fazer um diagnóstico do estado atual — o que já existe versus o que falta.
  3. Designar formalmente RTI, Controlador e DPO. Aprovar a PSI.
  4. Priorizar Etapas 1 e 2 (Governança e Infraestrutura) para bater o prazo do art. 20.
  5. Contratar ou alinhar o prestador de TI para executar os controles técnicos.
  6. Coletar evidências e montar o dossiê técnico continuamente.
  7. Programar os testes periódicos (backup, PCN) e a revisão anual da PSI.
Descubra sua classe e seu prazo em 10 minutos

Diagnóstico gratuito, sem cadastro, com base legal em cada resposta.

Fazer diagnóstico gratuito

Continue com o Checklist do Provimento 213 por etapa ou volte para a página inicial.

Este guia é material informativo produzido pela equipe Conforme213. Não constitui parecer jurídico. A interpretação definitiva da norma cabe ao CNJ e às corregedorias competentes.