Provimento 213 Classe 2: checklist final antes do prazo de 22/07
O prazo do Provimento 213 para cartórios Classe 2 vence em 22/07/2026. Checklist objetivo das Etapas 1 e 2: o que precisa estar pronto, as evidências exigidas e o que priorizar.
Para as serventias enquadradas na Classe 2 do Provimento 213/2026 do CNJ, o prazo das Etapas 1 e 2 vence em 22 de julho de 2026 — são os 150 dias do art. 20, contados da vigência da norma. Faltando pouco mais de duas semanas, a pergunta que importa deixou de ser “o que o provimento exige” e passou a ser: o que precisa estar comprovadamente pronto até lá — e o que ainda dá tempo de fechar.
Este artigo é um checklist objetivo para essa reta final: item a item das Etapas 1 e 2, as evidências que a Corregedoria espera encontrar, e um plano de priorização honesto para quem está atrasado. Se você ainda não sabe em qual classe sua serventia se enquadra, comece pelo nosso guia sobre a classe do seu cartório e o prazo que você tem — a classificação (art. 16) é pela receita bruta semestral, e a Classe 2 abrange as serventias entre R$ 100.000,01 e R$ 500.000,00.
O prazo de 22/07 e a quem se aplica
O Provimento 213 escalonou a implementação em etapas, com prazos proporcionais ao porte da serventia (art. 20):
| Classe | Receita bruta semestral | Prazo das Etapas 1–2 |
|---|---|---|
| Classe 3 | acima de R$ 500 mil | 90 dias — já venceu (maio/2026) |
| Classe 2 | R$ 100 mil a R$ 500 mil | 150 dias — 22/07/2026 |
| Classe 1 | até R$ 100 mil | 210 dias — setembro/2026 |
As Etapas 1 e 2 do Anexo IV cobrem governança, conformidade legal, infraestrutura e continuidade operacional — a fundação sobre a qual as etapas seguintes (que se estendem por até 30 meses para a Classe 2, art. 23) serão construídas.
Dois pontos que titulares costumam descobrir tarde demais:
- As etapas são sequenciais. A declaração de cumprimento da Etapa 2 pressupõe a Etapa 1 concluída e registrada. Não dá para “pular” a governança e ir direto para a infraestrutura.
- O cumprimento é declarado no Sistema Justiça Aberta (art. 17), com renovação anual acompanhada de síntese do dossiê técnico e evidências mínimas. Declaração falsa sujeita o responsável às penalidades legais — ou seja, declarar sem ter implementado é pior do que atrasar.
Checklist da Etapa 1: governança e conformidade legal
A Etapa 1 institui a base organizacional e documental. Para a reta final, trate cada item como uma pergunta de auditoria — se a resposta não estiver documentada, o item não está pronto:
- Responsáveis designados formalmente — responsável técnico interno, controlador de dados e encarregado (DPO), com ato de designação por escrito.
- Política de Segurança da Informação aprovada — e divulgada aos colaboradores, com registro de ciência.
- Autenticação individualizada + MFA — cada colaborador com credencial própria (nada de senha compartilhada) e múltiplo fator de autenticação nos acessos administrativos e críticos.
- Registro das operações de tratamento de dados pessoais — o inventário de tratamento exigido pela LGPD, adaptado à rotina da serventia.
- Procedimento formal de comunicação de incidentes — quem aciona quem, em qual prazo, com qual registro. A norma trabalha com comunicação de incidentes críticos à Corregedoria em até 72 horas.
- Inventário completo de ativos — hardware, softwares, certificados digitais: o que existe, onde está, quem usa.
- Licenças regularizadas e contratos revisados — softwares licenciados e contratos com fornecedores de TI aditados para refletir as exigências da norma (confidencialidade, portabilidade, LGPD).
A boa notícia: a Etapa 1 é majoritariamente organizacional. Com método, boa parte dela se resolve em dias, não meses — e sem investimento pesado.
Checklist da Etapa 2: infraestrutura e continuidade
A Etapa 2 é onde a exigência sai do papel e encontra a infraestrutura física e lógica da serventia:
- Energia estável e protegida — infraestrutura elétrica adequada, aterramento documentado e nobreak dimensionado para desligamento seguro (verifique os parâmetros do Anexo II com seu responsável técnico).
- Plano de contingência energética formalizado — o que acontece quando falta luz por horas, por escrito.
- Ambiente físico controlado — servidores e equipamentos críticos em área de acesso restrito, com proteção contra incêndio, inundação e temperatura inadequada.
- Conectividade compatível com a classe — banda mínima conforme o Anexo II, com roteamento adequado; redundância de link é o que evita que uma queda da operadora vire indisponibilidade do serviço.
- PCN e PRD formalizados — Plano de Continuidade de Negócios e Plano de Recuperação de Desastres com avaliação de riscos e RTO e RPO definidos. Para a Classe 2, os tetos são RPO de 12 horas e RTO de 24 horas — entenda o que esses números significam na prática em RTO e RPO para cartórios.
- Backup automatizado em dois ambientes independentes — a norma exige cópias em no mínimo dois ambientes tecnicamente independentes, com redundância geográfica (ou lógica equivalente), e admite nuvem, mídia em local distinto ou solução híbrida.
- Testes de restauração documentados — backup que nunca foi restaurado é uma aposta, não um controle. O registro do teste é a evidência.
- Antivírus/antimalware em todos os equipamentos — com atualização automática ativa.
- Documento de arquitetura tecnológica — topologia da rede, ambientes, fluxos de dados, backups e integrações, desenhados e descritos.
Se a sua serventia já mantém backup gerenciado com replicação entre sites, boa parte da Etapa 2 é questão de formalizar e evidenciar o que já existe. Se o backup ainda é um HD externo na gaveta, este é o item mais urgente da lista — um RPO de 12 horas não se cumpre com rotina manual.
Documentação e evidências: o que a correição vai pedir
Cumprir sem conseguir comprovar é quase o mesmo que não cumprir. Para a Classe 2, a norma exige um dossiê técnico estruturado, com mecanismo idôneo de verificação de integridade — na prática, documentação consolidada com hash assinado digitalmente (o relatório simplificado é benefício restrito à Classe 1). O dossiê deve amarrar:
- Atos de designação dos responsáveis e a Política de Segurança da Informação;
- Inventário de ativos e registro de tratamento de dados;
- Contratos com fornecedores (com as cláusulas de confidencialidade, portabilidade e LGPD que a norma exige de soluções contratadas);
- PCN e PRD com RPO/RTO da classe;
- Evidências de execução: logs de backup, relatórios de teste de restauração, registros de treinamento.
Um provedor sério não entrega só a infraestrutura — entrega a evidência da infraestrutura: relatórios de backup, testes de restauração assinados e documentação pronta para anexar ao dossiê. É esse o modelo do nosso serviço de adequação ao Provimento 213.
Atrasado? O que priorizar nos dias restantes
Se hoje a serventia não passa no checklist acima, a pior estratégia é o silêncio. Em ordem de prioridade:
- Feche a Etapa 1 primeiro. É sequencial, é barata e é rápida: designações, política, MFA, inventário. Uma semana de trabalho focado resolve a maior parte.
- Ative o backup em dois ambientes já. Contratar backup gerenciado com replicação geográfica é implantável em dias — e é o controle que reduz o risco real (ransomware, sinistro físico) enquanto o resto da papelada avança.
- Formalize PCN e PRD na sequência — com RPO/RTO da Classe 2 escritos e um teste de restauração agendado e documentado.
- Se não vai dar tempo, prepare o pedido de prorrogação antes do vencimento. O art. 21 admite uma única prorrogação, de até 90 dias, por decisão fundamentada da Corregedoria — mediante comprovação de inviabilidade temporária (técnica ou financeira), plano formal de adequação com cronograma definido e adoção imediata de medidas compensatórias mínimas de redução de risco. Repare: o pedido bem instruído já exige orçamentos, cronograma e medidas em curso — ou seja, pedir prorrogação também pressupõe começar agora.
O que está em jogo no descumprimento: o art. 24 prevê que a inobservância injustificada, quando caracterizar negligência, imprudência ou omissão relevante do delegatário, pode ensejar procedimento administrativo disciplinar, sem prejuízo de responsabilidades civis e penais. Não é automático — mas é um risco que nenhum titular precisa correr por falta de plano.
Como validar se a infraestrutura atende
Na hora de avaliar a solução (própria ou contratada), as perguntas que separam conformidade real de promessa comercial:
- Onde ficam as duas cópias — e elas são de fato independentes? Dois ambientes no mesmo prédio, ou duas contas na mesma infraestrutura, não entregam a independência que a norma pede.
- A redundância geográfica é real? Réplicas em regiões distintas, com infraestrutura própria e verificável. A Saiph opera três datacenters próprios — Belo Horizonte, Contagem e Recife — e replica os dados entre regiões diferentes do país.
- O RPO/RTO da Classe 2 está em contrato? SLA com 12h/24h escrito, não prometido verbalmente.
- O contrato tem as cláusulas que a norma exige? Confidencialidade, portabilidade integral em formato não proprietário e conformidade com a LGPD — a norma permite expressamente contratar IaaS/PaaS/SaaS, como detalhamos em como se adequar sem montar um datacenter, desde que o contrato esteja em conformidade.
- Quem opera responde quando você precisa? Suporte 24x7 de equipe própria, em português, faz diferença no dia do incidente.
Um esclarecimento importante, porque circula muita informação imprecisa: o Provimento 213 não obriga que os dados fiquem em solo brasileiro — a norma admite soluções de nuvem, inclusive internacionais, desde que os requisitos técnicos e contratuais sejam cumpridos. Hospedar no Brasil é um diferencial prático, não uma obrigação legal: latência menor no dia a dia, possibilidade de visitar fisicamente o datacenter que guarda o acervo da serventia, contrato e fatura em reais e simplificação do enquadramento LGPD. É uma escolha de gestão de risco — e é a que recomendamos —, mas quem afirmar que “a lei exige datacenter no Brasil” está vendendo medo, não conformidade.
Perguntas frequentes
O que exatamente vence em 22/07/2026 para a Classe 2?
O prazo de implementação das Etapas 1 e 2 do Anexo IV (governança, conformidade legal, infraestrutura e continuidade), fixado em 150 dias pelo art. 20. A conformidade integral com todas as etapas segue cronograma mais longo — até 30 meses para a Classe 2 (art. 23).
Perdi o prazo. O que acontece?
O descumprimento injustificado, quando caracterizar negligência, imprudência ou omissão relevante, pode ensejar PAD (art. 24). O caminho correto é regularizar rápido e documentar: quem demonstra plano em execução está em posição muito melhor do que quem ignora a norma — ou do que quem declara conformidade que não tem.
Ainda dá tempo de pedir prorrogação?
O art. 21 prevê uma única prorrogação de até 90 dias, condicionada a decisão fundamentada da Corregedoria, comprovação de inviabilidade temporária, plano formal de adequação com cronograma e medidas compensatórias imediatas. O pedido deve ser preparado antes do vencimento — e um orçamento formal de adequação com cronograma de implantação é peça central dele. Confirme o rito específico com a Corregedoria do seu estado e sua assessoria jurídica.
Preciso tirar meus dados da nuvem que uso hoje?
Não necessariamente. A norma permite IaaS/PaaS/SaaS com contrato em conformidade (confidencialidade, portabilidade, LGPD) e exige dois ambientes independentes com redundância geográfica. O que precisa ser verificado é se a solução atual comprova esses requisitos e os RPO/RTO da sua classe — verifique com seu DPO ou assessoria técnica.
O que a Saiph entrega nesse cenário?
Backup gerenciado (Veeam/Acronis) replicado entre datacenters próprios em regiões distintas (BH/Contagem ↔ Recife), RPO/RTO da sua classe em contrato, PCN/PRD estruturados, testes de restauração documentados e as evidências prontas para o dossiê técnico — com suporte 24x7 de equipe própria, desde 2009.
Faltam poucos dias — e a diferença entre correr risco e estar tranquilo é um diagnóstico. Fale com a Saiph pelo formulário de contato: avaliamos a situação da sua serventia frente ao checklist das Etapas 1 e 2 e devolvemos um plano objetivo — implantação, documentação e evidências — dimensionado para a Classe 2.