Atuo no direito imobiliário e urbanístico e, há anos, defendo duas teses que considero inseparáveis: a de que a desjudicialização é o caminho mais inteligente para a segurança jurídica no Brasil, e a de que tecnologia, bem aplicada, é a condição para que esse caminho funcione. É da convergência dessas duas convicções que trato aqui.
Quando o Corregedor Nacional de Justiça editou o provimento 213, de 20 de fevereiro de 20261, revogando o antigo provimento 74/182, o mercado leu o ato como uma atualização de segurança da informação. Criptografia mais forte, autenticação multifator, backup redundante. A leitura está correta, mas é curta. O efeito mais profundo da norma não está na camada técnica. Está no contrato.
Sustento uma tese ao longo deste texto: cumprir o provimento 213/26 é, no fundo, um problema de direito contratual e de proteção de dados, não de compra de software. E é um problema que só se resolve quando se leem juntos três regimes que quase ninguém lê em conjunto. O próprio provimento, o regime de transferência internacional de dados da LGPD e os limites que começam a surgir para o uso de inteligência artificial nas serventias.
O que a norma efetivamente impõe ao delegatário
O provimento 213/26 abandona o modelo uniforme do regime anterior e adota proporcionalidade regulatória. Enquadra as serventias em três classes pela arrecadação bruta semestral e gradua exigências, prazos e parâmetros de recuperação conforme o porte. E fixa dois objetivos de recuperação que passam a ser fiscalizáveis, ambos vindos do vocabulário técnico de continuidade de TI. O primeiro é o RPO - Recovery Point Objective, a perda máxima de dados tolerável em caso de incidente. Em linguagem direta: responde a quanto de trabalho recente o cartório pode perder quando o sistema cai. Um RPO de quatro horas significa que, no pior cenário, perdem-se no máximo os atos das últimas quatro horas. O segundo é o RTO - Recovery Time Objective, o tempo máximo de serviço fora do ar até o restabelecimento. Um RTO de oito horas obriga a serventia a voltar a operar em até oito horas. A norma fixa, por classe, RPO de 4 a 24 horas e RTO de 8 a 24 horas. Soma a isso a retenção mínima de cinco anos para as trilhas de auditoria imutáveis (os registros de quem fez o quê, e quando, nos sistemas) e um cronograma cumulativo de cinco etapas, com horizonte global de 24 a 36 meses.
Dois dispositivos, porém, concentram o risco jurídico real. O art. 13, §3º, e o art. 14 deixam claro que contratar terceiros, aderir a solução coletiva ou centralizar controles em operador nacional não transfere responsabilidade. Ela permanece pessoal e indelegável do delegatário, do interino ou do interventor. O cartório pode terceirizar a execução técnica. A responsabilidade jurídica, nunca. Contratar a melhor nuvem do mundo não exonera o tabelião nem o registrador de coisa alguma perante a Corregedoria.
O art. 15 vai além e estabelece quando se considera mitigada a dependência estrutural em relação ao fornecedor. Exige, ao mesmo tempo, cláusula de reversibilidade e portabilidade em formato interoperável e não proprietário, comprovação de teste de extração integral do acervo, e a inexistência de qualquer trava técnica ou contratual que impeça a migração sem a anuência discricionária do fornecedor. Coerente com isso, a Etapa 1 do Anexo IV obriga o cartório a revisar todos os contratos de tecnologia que envolvam tratamento de dados da serventia, inserindo cláusulas expressas de confidencialidade, reversibilidade, portabilidade integral, cooperação na transição e conformidade com a lei 13.709/183.
A conclusão se impõe sozinha. O provimento 213/26 não manda o cartório comprar tecnologia. Manda o cartório governar um contrato de tecnologia cujo objeto é a custódia da fé pública dentro do ambiente de um terceiro.
O ponto cego: A nuvem das big techs quase sempre é transferência internacional de dados
Aqui está o nó que boa parte da discussão sobre o provimento 213 ainda não enfrentou. Amazon Web Services, Microsoft Azure e Google Cloud operam regiões de processamento espalhadas pelo mundo. Mesmo quando há região brasileira, backup, replicação geográfica, suporte técnico e funções de inteligência artificial muitas vezes trafegam ou processam dados fora do território nacional. E o acervo de uma serventia é, por definição, feito de dados pessoais. Muitos deles sensíveis, como filiação, estado civil, patrimônio, sucessão, interdição.
No momento em que esses dados cruzam a fronteira, incide o regime de transferência internacional dos arts. 33 a 36 da LGPD, hoje regulamentado pela resolução CD/ANPD 19/244. Foi ela que aprovou as cláusulas-padrão contratuais, as chamadas Standard Contractual Clauses brasileiras, de adoção obrigatória entre exportador e importador de dados sempre que a transferência se apoiar em mecanismo contratual. O prazo de adequação acabou em 23 de agosto de 2025. De lá para cá, a transferência internacional só é lícita se amparada em decisão de adequação da ANPD, nas cláusulas-padrão ou em outro mecanismo aprovado, sob pena de sanção administrativa.
A consequência é direta, e quase ninguém a percebe. Um cartório que hospeda o acervo em nuvem estrangeira e não incorporou as cláusulas-padrão da ANPD já está, hoje, em situação irregular perante a LGPD, independentemente do provimento 213. O que o provimento faz é transformar essa irregularidade silenciosa em risco correcional concreto, ao exigir a revisão dos contratos com cláusulas de conformidade integral à lei de proteção de dados.
Há uma nuance recente que vale registrar. A ANPD reconheceu a União Europeia como organismo de proteção adequada5, o que facilita a transferência para a infraestrutura europeia dos provedores globais. Esse reconhecimento não alcança os Estados Unidos, onde se concentra boa parte da capacidade dessas plataformas. Para o fluxo Brasil–EUA, a regra continua sendo a cláusula-padrão contratual.
Quem é o quê na arquitetura da LGPD
O provimento 213 qualifica o delegatário como controlador dos dados pessoais (art. 7º). Disso decorrem deveres concretos: manter registro das operações de tratamento, designar encarregado quando for o caso e comunicar incidentes relevantes em dupla via, à ANPD e à Corregedoria competente. A big tech contratada, por sua vez, costuma ocupar a posição de operadora, tratando dados em nome e segundo as instruções do controlador.
Daí decorre que o contrato certo não é uma licença de uso de software. É um acordo de tratamento de dados, com objeto definido, finalidade vinculada, vedação de tratamento posterior incompatível e, havendo transferência internacional, as cláusulas-padrão da resolução 19/24 prevalecendo sobre o que o instrumento principal disser em contrário. Isso pede do advogado uma postura de auditoria, não de adesão. Os termos de serviço padrão dos provedores globais foram escritos para um cliente genérico, não para um delegatário de fé pública submetido a regime correcional. As lacunas são previsíveis. Falta reversibilidade compatível com o art. 15, há previsões de retenção e eliminação de dados que brigam com a guarda obrigatória do acervo e, no ponto mais delicado, aparecem cláusulas que autorizam o uso dos dados do cliente para treinar modelos de inteligência artificial.
Gestão de risco como exigência jurídica, não apenas técnica
Quando o provimento exige, já na etapa 1, a identificação e a avaliação estruturada de riscos, e quando condiciona a formalização do Plano de Continuidade de Negócios (o PCN, conjunto de procedimentos que mantém o serviço funcionando ou o restabelece com rapidez diante de uma falha) e do Plano de Recuperação de Desastres (o PRD, voltado especificamente a restaurar sistemas e dados após um incidente grave, como um ataque ou a perda de uma base) à definição expressa de RTO, RPO e medidas de mitigação, ele está pedindo, na prática, uma metodologia de gestão de risco. E essa metodologia não precisa ser inventada do zero. A ABNT NBR ISO/IEC 27005:20236, versão brasileira da ISO/IEC 27005:2022, é exatamente a norma que descreve como conduzir a identificação, a análise, a avaliação e o tratamento de riscos de segurança da informação. Ela funciona como suporte da ISO/IEC 27001, é complementada pela ISO/IEC 27002, que traz o catálogo de controles, e dialoga com a ISO 31000 de gestão de riscos.
O ponto que me interessa, do lado jurídico, é que a 27005 oferece ao delegatário um caminho probatório. Ao demonstrar que estruturou seu PCN e seu PRD a partir de uma metodologia reconhecida, o cartório constrói evidência objetiva de diligência, exatamente o que o dossiê técnico e a fiscalização orientada por risco do provimento esperam encontrar. Adotar uma norma técnica consagrada deixa de ser refinamento de TI e passa a ser estratégia de defesa do tabelião e do registrador diante da Corregedoria e da ANPD.
A inteligência artificial nas serventias, onde a conta não pode fechar
A automação cartorária é inevitável e, digo com convicção, desejável. Triagem de documentos, leitura de matrículas, classificação de títulos, redação assistida de notas e minutas: tudo isso ganha velocidade com IA. O problema não está na ferramenta. Está no dado que a alimenta e no lugar onde ela processa.
A resolução CNJ 615/257, em vigor desde 14 de julho de 2025, substituiu a resolução 332/20208 e virou o marco regulatório da IA no Poder Judiciário, com princípios de explicabilidade, auditabilidade e supervisão humana efetiva. Ela disciplina a IA do Judiciário, e não diretamente a das serventias extrajudiciais, que têm natureza de atividade privada exercida em colaboração com o Poder Público. Essa fronteira começou a ser preenchida no plano estadual. O provimento 1/26-GAB-CGJ do TJ/MT9 foi pioneiro ao regulamentar o uso de IA nas serventias, vedando qualquer solução para a prática autônoma de atos notariais ou registrais, proibindo o uso de dados sigilosos ou sensíveis em plataformas externas sem anonimização irreversível e barrando o treinamento de modelos com o acervo das serventias.
Quando se soma essa regulação ao provimento 213, a síntese que emerge é precisa, e deveria guiar qualquer contratação. A inteligência artificial não pratica ato dotado de fé pública, porque a supervisão humana qualificada do delegatário é o núcleo intransferível da atividade. O acervo cartorário não é dado de treinamento, e a cláusula com o provedor precisa vedar de forma expressa seu uso para treinar modelos, fazer fine-tuning ou qualquer aproveitamento secundário, com prova dessa contratação no dossiê técnico. E o dado sensível só vai para a nuvem cifrado, com a chave em poder do cartório. O próprio provimento admite, para as classes 1 e 2, o uso de nuvem comercial desde que o backup seja criptografado na origem, em AES-256 ou superior, com a chave de descriptografia sob custódia exclusiva da serventia, jamais do provedor. É a tradução técnica de um princípio jurídico simples. O provedor pode guardar o cofre. Não pode ter a chave.
Conclusão
O provimento CNJ 213/26 vem sendo apresentado como norma de segurança da informação. É bem mais que isso. Ao tornar indelegável a responsabilidade do delegatário e ao obrigar a revisão de todos os contratos de tecnologia, ele escancara algo que a digitalização cartorária vinha empurrando para debaixo do tapete: a fé pública migrou para a nuvem, e a nuvem, quase sempre, é de uma big tech sediada fora do alcance imediato do direito brasileiro.
A resposta a esse deslocamento não está em escolher o provedor mais reputado, e sim na arquitetura jurídica do contrato que o disciplina. É no encontro entre o provimento 213/26, o regime de transferência internacional da resolução CD/ANPD 19/24, a metodologia de gestão de risco da ISO/IEC 27005 e os limites de IA fixados pela resolução CNJ 615/25 e pela regulação estadual que avança que se decide se o acervo de uma serventia está protegido ou apenas hospedado. A fé pública não admite terceirização de responsabilidade. Admite, no máximo, terceirização vigiada de infraestrutura.
______
1. CONSELHO NACIONAL DE JUSTIÇA. Provimento n. 213, de 20 de fevereiro de 2026. Dispõe sobre os padrões mínimos de tecnologia da informação e comunicação dos serviços notariais e de registro. Disponível em: https://atos.cnj.jus.br/atos/detalhar/6734. Acesso em: 29 maio 2026.
2. CONSELHO NACIONAL DE JUSTIÇA. Provimento n. 74, de 31 de julho de 2018. Disponível em: https://atos.cnj.jus.br/atos/detalhar/2637. Acesso em: 29 maio 2026.
3. BRASIL. Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais). Arts. 33 a 36. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-208/2018/lei/l13709.htm. Acesso em: 29 maio 2026.
4. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Resolução CD/ANPD n. 19, de 23 de agosto de 2024. Aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. Prazo de adequação encerrado em 23 de agosto de 2025. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/resolucao-normatiza-transferencia-internacional-de-dados. Acesso em: 29 maio 2026.
5. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Transferência Internacional de Dados: decisões de adequação. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/assuntos-internacionais/transferencia-internacional-de-dados. Acesso em: 29 maio 2026.
6. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27005:2023. Segurança da informação, segurança cibernética e proteção à privacidade: orientações para a gestão de riscos de segurança da informação (versão internacional ISO/IEC 27005:2022). Norma de suporte à ISO/IEC 27001, complementada pela ISO/IEC 27002 (catálogo de controles) e alinhada à ISO 31000.
7. CONSELHO NACIONAL DE JUSTIÇA. Resolução n. 615, de 11 de março de 2025. Estabelece diretrizes para o desenvolvimento, a utilização e a governança de soluções de inteligência artificial no Poder Judiciário. Disponível em: https://atos.cnj.jus.br/atos/detalhar/6001. Acesso em: 29 maio 2026.
8. CONSELHO NACIONAL DE JUSTIÇA. Resolução n. 332, de 21 de agosto de 2020. Dispõe sobre a ética, a transparência e a governança na produção e no uso de inteligência artificial no Poder Judiciário. Disponível em: https://atos.cnj.jus.br/atos/detalhar/3429. Acesso em: 29 maio 2026.
9. TRIBUNAL DE JUSTIÇA DO ESTADO DE MATO GROSSO. Corregedoria-Geral da Justiça. Provimento n. 1/2026-GAB-CGJ. Estabelece diretrizes para contratação, uso, governança, segurança e fiscalização de soluções de inteligência artificial nas serventias extrajudiciais. Disponível em: https://www.tjmt.jus.br/noticias/2026/1/corregedoria-regulamenta-uso-inteligencia-artificial-em-cartorios-mato-grosso. Acesso em: 29 maio 2026.