1. O que é o Provimento 213/2026
O Provimento 213 é um ato normativo da Corregedoria Nacional de Justiça, órgão do CNJ, que padroniza os requisitos técnicos e administrativos de segurança da informação (SI), continuidade de negócios (BCM), gestão de incidentes e proteção de dados pessoais para o extrajudicial brasileiro. Diferentemente do Provimento 74/2018, que trazia diretrizes gerais, o 213 detalha requisitos verificáveis, exige documentação formal e institui uma trilha de comprovação anual.
A norma se aplica a mais de 13 mil serventias no Brasil e responsabiliza pessoalmente o titular delegatário pela adequação. A conformidade é contínua: não basta cumprir uma vez — é preciso manter, testar e revisar periodicamente os controles.
Base legal consolidada: Provimento CNJ 213/2026 — texto oficial.
2. O que muda em relação ao Provimento 74/2018
O Provimento 74/2018 foi o primeiro esforço estruturado do CNJ para exigir controles de TI no extrajudicial, mas era genérico e pouco fiscalizado. O Provimento 213 muda essa lógica em cinco frentes:
- Documentos formais obrigatórios: PSI, PCN, PRD, ROPA e inventário de ativos passam a ser exigíveis (antes eram recomendados).
- Papéis designados: RTI (Responsável pela TI), Controlador de Dados e DPO precisam ser nomeados por ato do titular.
- Dossiê técnico: criado como instrumento único de comprovação, apresentado ao CNJ via Justiça Aberta (art. 17).
- Prazo de 72 horas: notificação obrigatória de incidentes de segurança à corregedoria e à ANPD, quando envolver dados pessoais.
- Sanções administrativas: o art. 24 vincula o descumprimento a procedimento disciplinar da corregedoria competente.
3. As classes e subclasses (art. 16)
O art. 16 do Provimento 213 classifica cada serventia pela receita bruta semestral. A classe determina o prazo de adequação e a intensidade dos controles exigidos — serventias maiores têm menos tempo e obrigações mais estritas.
| Classe | Receita bruta semestral | Prazo Etapas 1 e 2 (art. 20) | Conformidade integral (art. 23) |
|---|---|---|---|
| Classe 1 | Até R$ 100 mil | 210 dias | 36 meses |
| Classe 2 | Acima de R$ 100 mil até R$ 500 mil | 150 dias | 30 meses |
| Classe 3 | Acima de R$ 500 mil | 90 dias | 24 meses |
A classificação é reavaliada a cada semestre. Se a receita muda de faixa, o cartório passa a se enquadrar na nova classe no semestre subsequente, mas os controles já implantados são mantidos.
4. Os dois prazos do Provimento 213 (arts. 20 e 23)
O Provimento estabelece dois marcos temporais distintos, contados sempre a partir de 20 de fevereiro de 2026:
Art. 20 — Etapas 1 e 2 (Governança e Infraestrutura)
- Classe 3: 90 dias → prazo até 21/05/2026.
- Classe 2: 150 dias → prazo até 20/07/2026.
- Classe 1: 210 dias → prazo até 18/09/2026.
Art. 23 — Conformidade integral
- Classe 3: 24 meses → até fevereiro de 2028.
- Classe 2: 30 meses → até agosto de 2028.
- Classe 1: 36 meses → até fevereiro de 2029.
Diagnóstico gratuito, sem cadastro, com base legal em cada resposta.
5. As 5 etapas do Anexo IV explicadas
O Anexo IV organiza os 43 requisitos verificáveis em cinco etapas sequenciais. Cada etapa tem entregáveis próprios e alimenta o dossiê técnico.
Etapa 1 — Governança
Designações formais (RTI, Controlador, DPO), aprovação da Política de Segurança da Informação (PSI), definição do escopo, inventário inicial de ativos e sistemas, matriz de responsabilidades. É a etapa fundacional — sem ela, as demais não avançam.
Etapa 2 — Infraestrutura
MFA em todos os sistemas críticos e e-mail institucional, segmentação de rede, firewall gerenciado, antivírus/EDR corporativo, atualização de sistemas operacionais, backup off-site criptografado com testes de restauração documentados.
Etapa 3 — Segurança da Informação
Controle de acesso por perfil (least privilege), gestão de senhas, logs de acesso e alteração preservados por 5 anos em local segregado, procedimento de admissão e desligamento de colaboradores, treinamento anual de conscientização.
Etapa 4 — Proteção de Dados (LGPD)
ROPA (Registro de Operações de Tratamento), base legal de cada tratamento, canal para titulares de dados, procedimento de resposta a incidentes com notificação em 72h à ANPD e à corregedoria, contratos com operadores.
Etapa 5 — Continuidade e Recuperação
PCN (Plano de Continuidade de Negócios) e PRD (Plano de Recuperação de Desastres) formais, RTO/RPO definidos por processo crítico, testes anuais tabletop, plano de comunicação de crise e procedimento de failover.
6. Documentos obrigatórios
A norma exige um conjunto mínimo de documentos formais, aprovados pelo titular e revisados anualmente:
- PSI — Política de Segurança da Informação: princípios, escopo, papéis, regras de uso aceitável, sanções internas.
- PCN — Plano de Continuidade de Negócios: processos críticos, RTO/RPO, estratégias de continuidade, plano de testes.
- PRD — Plano de Recuperação de Desastres: cenários, procedimentos técnicos de recuperação, equipe, comunicação.
- ROPA — Registro de Operações de Tratamento (LGPD): cada tratamento de dado pessoal com finalidade, base legal, retenção, compartilhamentos.
- Inventário de ativos: equipamentos, sistemas, licenças, responsáveis, criticidade.
- Designações formais: ato do titular nomeando RTI, Controlador e DPO.
7. O dossiê técnico e o Justiça Aberta
O art. 17, combinado com o Anexo IV, cria o dossiê técnico de conformidade — documento consolidado que reúne PSI, PCN, PRD, inventário, evidências das etapas concluídas e resultados dos testes periódicos. O dossiê é apresentado à corregedoria competente e alimentado no sistema Justiça Aberta do CNJ para monitoramento nacional.
Cada etapa concluída gera um snapshot do dossiê. As corregedorias podem solicitá-lo a qualquer momento, especialmente após incidentes ou reclamações.
8. Gestão de incidentes e o prazo de 72 horas
O Provimento 213 exige procedimento formal de resposta a incidentes de segurança. Todo incidente relevante — vazamento, ransomware, indisponibilidade prolongada, acesso indevido — deve ser:
- Registrado em log imutável com data, hora, natureza e impacto estimado.
- Notificado em até 72 horas à corregedoria competente e, se envolver dados pessoais, à ANPD (art. 48 da LGPD).
- Comunicado aos titulares afetados quando houver risco relevante.
- Documentado em relatório de causa raiz com plano de ação corretiva anexado ao dossiê.
9. O que acontece se o cartório não cumprir (art. 24)
O art. 24 estabelece que o descumprimento do Provimento 213 pode ensejar procedimento disciplinar pela corregedoria competente contra o titular delegatário. Não há multa fixa prevista na norma, mas as sanções disciplinares do regime notarial e registral (advertência, censura, multa, suspensão e perda da delegação) permanecem aplicáveis.
A isso se somam as sanções administrativas da LGPD (art. 52), aplicadas pela ANPD em caso de incidente com dados pessoais: advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), publicização, suspensão do tratamento e proibição parcial ou total de atividades relacionadas ao tratamento.
Na prática, a maior exposição não é a multa direta, mas a responsabilização pessoal do titular em processo disciplinar após incidente ou reclamação, quando fica evidenciado que os controles mínimos não foram implantados.
10. Como começar
A adequação ao Provimento 213 combina decisão de gestão, execução técnica e organização documental. Um roteiro pragmático:
- Confirmar a classe pela receita bruta semestral (art. 16) e calcular o prazo do art. 20.
- Fazer um diagnóstico do estado atual — o que já existe versus o que falta.
- Designar formalmente RTI, Controlador e DPO. Aprovar a PSI.
- Priorizar Etapas 1 e 2 (Governança e Infraestrutura) para bater o prazo do art. 20.
- Contratar ou alinhar o prestador de TI para executar os controles técnicos.
- Coletar evidências e montar o dossiê técnico continuamente.
- Programar os testes periódicos (backup, PCN) e a revisão anual da PSI.
Diagnóstico gratuito, sem cadastro, com base legal em cada resposta.
Continue com o Checklist do Provimento 213 por etapa ou volte para a página inicial.