Contexto regulatório
O Provimento CGJ nº 16/2025 busca
harmonizar as normas cartorárias paulistas em face da LGPD, do Provimento nº 149, de 30 de agosto de 2023 (Código
Nacional de Normas da Corregedoria Nacional de Justiça do Conselho Nacional de
Justiça — Foro Extrajudicial) e do Provimento CGJ nº 23, de 03 de setembro de 2020 (inseriu
a seção VIII sobre proteção de dados pessoais no Provimento nº 58/89),
incorporando diretrizes mais específicas sobre as responsabilidades das
serventias extrajudiciais e detalhando critérios de proporcionalidade,
classificação, escopo e justificativa legal para o tratamento de dados.
A iniciativa insere-se em um esforço de
compatibilização normativa no âmbito dos serviços extrajudiciais, promovendo o
alinhamento das disposições estaduais da Corregedoria Geral da Justiça de São
Paulo com os parâmetros estabelecidos pelo Código Nacional de Normas da
Corregedoria Nacional de Justiça — Foro Extrajudicial (Provimento CNJ nº
149/2023). Ao reformular a Seção VIII do Provimento nº 58/89, o novo texto não
apenas densifica as obrigações relacionadas ao tratamento e à proteção de dados
pessoais pelas serventias notariais e de registro, como também busca garantir
coerência sistêmica com o regramento nacional, evitando conflitos
interpretativos e promovendo a padronização de condutas.
Trata-se, portanto, de uma medida
normativa que visa compatibilizar os marcos locais com as diretrizes da
Corregedoria Nacional, conferindo maior segurança jurídica às serventias no
cumprimento de suas obrigações legais, administrativas e disciplinares perante
os diversos órgãos de controle.
Operadores nacionais de registros e
responsabilidade ampliada em rede
As modificações promovidas pelo Provimento
CGJ nº 16/2025 impõem às serventias extrajudiciais um novo patamar de
conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), exigindo não
apenas ajustes documentais e contratuais, mas também a implementação de
práticas organizacionais estruturadas e contínuas.
Os operadores nacionais de registros,
enquanto entidades responsáveis pelas estruturas de integração e padronização
registral em âmbito nacional, ocupam posição estratégica que transcende suas
eventuais obrigações como controladores diretos de dados. Suas atuações
impactam diretamente as rotinas de tratamento de dados pessoais de milhares de
serventias, especialmente no que se refere à:
·
padronização de fluxos de informação;
·
interoperabilidade com órgãos públicos;
·
emissão e validação de certidões
eletrônicas;
·
segurança das centrais compartilhadas.
Nesse contexto, as obrigações
estabelecidas pelo Provimento CGJ nº 16/2025, ainda que majoritariamente
direcionadas às delegações notariais e registrais, alcançam indiretamente os
operadores nacionais de registros, que podem e devem atuar como pólos orientadores
e indutores de boas práticas na rede registral, promovendo modelos de
conformidade escalonados e replicáveis, com base na classificação das
serventias (Classe I, II ou III).
Implicações práticas do provimento nas
serventias extrajudiciais
Abaixo, destacam-se as principais
implicações práticas a serem observadas pelos responsáveis pelas serventias e
que consequentemente, conforme destacado anteriormente, podem ser incentivadas
pelos operadores nacionais de registros no cumprimento do seu papel orientador:
·
a) Classificação da serventia e adequação
proporcional (Item 130.2)
As serventias deverão ser classificadas
conforme as classes I, II ou III, nos termos do Código Nacional de Normas
(CNN/CN/CNJ), e implementar as medidas exigidas pela LGPD de forma proporcional
à sua capacidade econômica e ao volume e natureza dos dados tratados.
·
b) Advertência no atendimento do titular
(Item 131.3)
As informações fornecidas em atendimento
ao direito de acesso deverão conter advertência de que não se trata de certidão
dotada de fé pública.
·
c) Nomeação do encarregado de dados (Itens
133 a 133.9)
Todas as serventias devem nomear
formalmente um encarregado de proteção de dados pessoais, pessoa física ou
jurídica, integrante da equipe ou terceiro contratado. A nomeação deve ser
documentada por contrato arquivado e poderá ser realizada de forma independente
ou conjunta entre diferentes unidades, desde que haja compatibilidade de
funções e ausência de conflitos de interesse. Importante destacar que a
nomeação do DPO não exime o delegatário do dever de atendimento direto ao
titular, quando solicitado.
·
d) Elaboração e manutenção de documentos
obrigatórios (itens 133.9, 134, 135 e 137)
A unidade deverá elaborar e/ou revisar
documentos essenciais à conformidade com a LGPD, como a política de
privacidade, o registro das operações de tratamento (Ropa), os termos de
ciência dos operadores, e, quando necessário, o relatório de impacto à proteção
de dados pessoais (RIPD). Esses documentos devem estar disponíveis para
fiscalização, refletindo a realidade prática da serventia e suas rotinas de
tratamento de dados.
·
e) Revisão de contratos e instrumentos
administrativos (item 152)
O provimento exige a revisão integral dos
contratos internos e externos celebrados pelas serventias, com inclusão de
cláusulas específicas sobre responsabilidades no tratamento de dados, descarte,
finalidade, base legal, limites de compartilhamento e mecanismos de controle.
Também será necessário ajustar regulamentos internos, especialmente em relação
à atuação de prepostos, terceirizados e fornecedores de tecnologia.
·
f) Capacitação contínua e cultura
organizacional de privacidade (itens 132.5, 132.5.1 e 133.8)
A norma estabelece a obrigatoriedade de
implementação de treinamentos sistemáticos para todos os colaboradores,
inclusive onboarding para novos contratados e reciclagens
periódicas. Tais formações devem ser registradas e integradas a um programa de
conscientização conduzido pelo encarregado, com foco na prevenção de incidentes
e na disseminação da cultura de proteção de dados.
·
g) Estruturação de mecanismos de
transparência e atendimento ao titular (itens 131.2, 133.9 e 134)
Cada serventia deverá manter canal
adequado para o atendimento a titulares de dados, garantindo resposta clara,
segura e gratuita sobre os dados tratados, sua forma, duração e finalidade. A
política de privacidade deve estar afixada nas unidades e publicada nos meios
digitais da serventia, com linguagem acessível e conteúdo atualizado.
·
h) Medidas técnicas e organizacionais de
segurança da informação (itens 132.4, 135.1, 137 e 153)
Estabelece padrões mínimos de segurança e
impõe a adoção de medidas administrativas e técnicas aptas a prevenir acessos
indevidos, perdas, alterações e incidentes de segurança, inclusive com a
obrigação de manter planos de resposta estruturados.
·
i) Compartilhamento de dados e
interoperabilidade com o poder público (itens 140, 150, 150.1, 151, 151.1 e
151.2)
O compartilhamento de dados pessoais com
centrais de serviços eletrônicos compartilhados e com órgãos públicos deverá
observar os princípios da adequação, necessidade e finalidade, priorizando,
sempre que possível, o acesso descentralizado e evitando a transferência de
bancos de dados. Nos casos em que houver desproporcionalidade ou dúvida sobre a
legalidade da solicitação, o delegatário deverá consultar a Corregedoria
Nacional de Justiça no prazo de 24 horas, apresentando justificativa
fundamentada.
·
j) Responsabilidade por terceiros e
fornecedores de tecnologia (itens 132.1 a 132.4, 152, 153)
As serventias deverão exigir de seus
prestadores de serviços, especialmente os fornecedores de sistemas, softwares e
plataformas de armazenamento, a plena conformidade com a LGPD. Isso inclui
auditorias, cláusulas contratuais específicas, orientações técnicas e controle
sobre o fluxo de dados que eventualmente circulem por ambientes terceirizados.
·
l) Preservação de evidências de
conformidade (itens 132.2, 132.5, 133.6 e 135.1)
Todas as medidas adotadas deverão ser
documentadas e arquivadas de forma organizada, viabilizando a produção de
evidências em caso de fiscalização da CGJ, da ANPD ou em eventuais processos
judiciais. A ausência de registros poderá ser interpretada como omissão, ainda
que os controles estejam sendo executados de forma informal.
Em suma, o novo provimento demanda das
serventias não apenas uma resposta normativa, mas uma mudança de postura
institucional. A proteção de dados pessoais passa a integrar, de maneira
indissociável, a boa governança das atividades notariais e registrais, devendo
ser tratada com seriedade, planejamento e continuidade.
Recomendações gerais
Em face das alterações designadas pelo
provimento CGJ nº 16/2025, pode-se destacar um nítido movimento de aproximação
das normas notariais com os padrões exigidos pela LGPD, promovendo agora um
nível maior de detalhamento técnico e exigência formal de implementação,
inclusive documental.
Diante disso, recomenda-se que as
serventias:
1. Classifiquem sua estrutura conforme o
Código Nacional de Normas (Classes I, II, III) e dimensionem proporcionalmente
suas ações de adequação;
2. Passem a incluir a advertência de que
não se trata de certidão dotada de fé pública nas informações fornecidas em
atendimento ao direito de acesso;
3. Atualizem ou elaborem documentos-chave,
como:
·
Política de Privacidade;
·
Ropa (registro de tratamento);
·
Plano de Resposta a Incidentes;
·
Modelo de Relatório de Impacto à proteção
de dados pessoais (RIPD)
·
Termos de responsabilidade e contratos com
operadores;
4. Promovam treinamentos contínuos e
programáticos;
5. Revisem seus contratos administrativos
e operacionais à luz dos itens 152 e 153;
6. Evitem transferências amplas de dados,
priorizando acessos pontuais e descentralizados conforme o item 150.1.
Considerações finais
Conforme destacado ao longo do documento,
as atualizações incluídas pelo Provimento CGJ nº 16/2025 consolidam um novo
patamar regulatório para os serviços notariais e registrais, exigindo das
serventias uma atuação mais estruturada na seara da proteção de dados pessoais.
A norma avança ao detalhar obrigações e
parâmetros de conformidade proporcionais ao porte da unidade, ao mesmo tempo em
que amplia a responsabilização dos delegatários. Ainda, o Provimento não apenas
consolida a aplicação da LGPD no setor extrajudicial, como também desloca o
eixo de responsabilidade para uma lógica de governança sistêmica e em rede.
Fonte: ConJur
