Por Bruno Bioni e Luis Eduardo Daher

Contexto regulatório

O Provimento CGJ nº 16/2025 busca harmonizar as normas cartorárias paulistas em face da LGPD, do Provimento nº 149, de 30 de agosto de 2023 (Código Nacional de Normas da Corregedoria Nacional de Justiça do Conselho Nacional de Justiça — Foro Extrajudicial) e do Provimento CGJ nº 23, de 03 de setembro de 2020 (inseriu a seção VIII sobre proteção de dados pessoais no Provimento nº 58/89), incorporando diretrizes mais específicas sobre as responsabilidades das serventias extrajudiciais e detalhando critérios de proporcionalidade, classificação, escopo e justificativa legal para o tratamento de dados.

A iniciativa insere-se em um esforço de compatibilização normativa no âmbito dos serviços extrajudiciais, promovendo o alinhamento das disposições estaduais da Corregedoria Geral da Justiça de São Paulo com os parâmetros estabelecidos pelo Código Nacional de Normas da Corregedoria Nacional de Justiça — Foro Extrajudicial (Provimento CNJ nº 149/2023). Ao reformular a Seção VIII do Provimento nº 58/89, o novo texto não apenas densifica as obrigações relacionadas ao tratamento e à proteção de dados pessoais pelas serventias notariais e de registro, como também busca garantir coerência sistêmica com o regramento nacional, evitando conflitos interpretativos e promovendo a padronização de condutas.

Trata-se, portanto, de uma medida normativa que visa compatibilizar os marcos locais com as diretrizes da Corregedoria Nacional, conferindo maior segurança jurídica às serventias no cumprimento de suas obrigações legais, administrativas e disciplinares perante os diversos órgãos de controle.

Operadores nacionais de registros e responsabilidade ampliada em rede

As modificações promovidas pelo Provimento CGJ nº 16/2025 impõem às serventias extrajudiciais um novo patamar de conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), exigindo não apenas ajustes documentais e contratuais, mas também a implementação de práticas organizacionais estruturadas e contínuas.

Os operadores nacionais de registros, enquanto entidades responsáveis pelas estruturas de integração e padronização registral em âmbito nacional, ocupam posição estratégica que transcende suas eventuais obrigações como controladores diretos de dados. Suas atuações impactam diretamente as rotinas de tratamento de dados pessoais de milhares de serventias, especialmente no que se refere à:

Nesse contexto, as obrigações estabelecidas pelo Provimento CGJ nº 16/2025, ainda que majoritariamente direcionadas às delegações notariais e registrais, alcançam indiretamente os operadores nacionais de registros, que podem e devem atuar como pólos orientadores e indutores de boas práticas na rede registral, promovendo modelos de conformidade escalonados e replicáveis, com base na classificação das serventias (Classe I, II ou III).

Implicações práticas do provimento nas serventias extrajudiciais

Abaixo, destacam-se as principais implicações práticas a serem observadas pelos responsáveis pelas serventias e que consequentemente, conforme destacado anteriormente, podem ser incentivadas pelos operadores nacionais de registros no cumprimento do seu papel orientador:

As serventias deverão ser classificadas conforme as classes I, II ou III, nos termos do Código Nacional de Normas (CNN/CN/CNJ), e implementar as medidas exigidas pela LGPD de forma proporcional à sua capacidade econômica e ao volume e natureza dos dados tratados.

As informações fornecidas em atendimento ao direito de acesso deverão conter advertência de que não se trata de certidão dotada de fé pública.

Todas as serventias devem nomear formalmente um encarregado de proteção de dados pessoais, pessoa física ou jurídica, integrante da equipe ou terceiro contratado. A nomeação deve ser documentada por contrato arquivado e poderá ser realizada de forma independente ou conjunta entre diferentes unidades, desde que haja compatibilidade de funções e ausência de conflitos de interesse. Importante destacar que a nomeação do DPO não exime o delegatário do dever de atendimento direto ao titular, quando solicitado.

A unidade deverá elaborar e/ou revisar documentos essenciais à conformidade com a LGPD, como a política de privacidade, o registro das operações de tratamento (Ropa), os termos de ciência dos operadores, e, quando necessário, o relatório de impacto à proteção de dados pessoais (RIPD). Esses documentos devem estar disponíveis para fiscalização, refletindo a realidade prática da serventia e suas rotinas de tratamento de dados.

O provimento exige a revisão integral dos contratos internos e externos celebrados pelas serventias, com inclusão de cláusulas específicas sobre responsabilidades no tratamento de dados, descarte, finalidade, base legal, limites de compartilhamento e mecanismos de controle. Também será necessário ajustar regulamentos internos, especialmente em relação à atuação de prepostos, terceirizados e fornecedores de tecnologia.

A norma estabelece a obrigatoriedade de implementação de treinamentos sistemáticos para todos os colaboradores, inclusive onboarding para novos contratados e reciclagens periódicas. Tais formações devem ser registradas e integradas a um programa de conscientização conduzido pelo encarregado, com foco na prevenção de incidentes e na disseminação da cultura de proteção de dados.

Cada serventia deverá manter canal adequado para o atendimento a titulares de dados, garantindo resposta clara, segura e gratuita sobre os dados tratados, sua forma, duração e finalidade. A política de privacidade deve estar afixada nas unidades e publicada nos meios digitais da serventia, com linguagem acessível e conteúdo atualizado.

Estabelece padrões mínimos de segurança e impõe a adoção de medidas administrativas e técnicas aptas a prevenir acessos indevidos, perdas, alterações e incidentes de segurança, inclusive com a obrigação de manter planos de resposta estruturados.

O compartilhamento de dados pessoais com centrais de serviços eletrônicos compartilhados e com órgãos públicos deverá observar os princípios da adequação, necessidade e finalidade, priorizando, sempre que possível, o acesso descentralizado e evitando a transferência de bancos de dados. Nos casos em que houver desproporcionalidade ou dúvida sobre a legalidade da solicitação, o delegatário deverá consultar a Corregedoria Nacional de Justiça no prazo de 24 horas, apresentando justificativa fundamentada.

As serventias deverão exigir de seus prestadores de serviços, especialmente os fornecedores de sistemas, softwares e plataformas de armazenamento, a plena conformidade com a LGPD. Isso inclui auditorias, cláusulas contratuais específicas, orientações técnicas e controle sobre o fluxo de dados que eventualmente circulem por ambientes terceirizados.

Todas as medidas adotadas deverão ser documentadas e arquivadas de forma organizada, viabilizando a produção de evidências em caso de fiscalização da CGJ, da ANPD ou em eventuais processos judiciais. A ausência de registros poderá ser interpretada como omissão, ainda que os controles estejam sendo executados de forma informal.

Em suma, o novo provimento demanda das serventias não apenas uma resposta normativa, mas uma mudança de postura institucional. A proteção de dados pessoais passa a integrar, de maneira indissociável, a boa governança das atividades notariais e registrais, devendo ser tratada com seriedade, planejamento e continuidade.

Recomendações gerais

Em face das alterações designadas pelo provimento CGJ nº 16/2025, pode-se destacar um nítido movimento de aproximação das normas notariais com os padrões exigidos pela LGPD, promovendo agora um nível maior de detalhamento técnico e exigência formal de implementação, inclusive documental.

Diante disso, recomenda-se que as serventias:

1. Classifiquem sua estrutura conforme o Código Nacional de Normas (Classes I, II, III) e dimensionem proporcionalmente suas ações de adequação;

2. Passem a incluir a advertência de que não se trata de certidão dotada de fé pública nas informações fornecidas em atendimento ao direito de acesso;

3. Atualizem ou elaborem documentos-chave, como:

4. Promovam treinamentos contínuos e programáticos;

5. Revisem seus contratos administrativos e operacionais à luz dos itens 152 e 153;

6. Evitem transferências amplas de dados, priorizando acessos pontuais e descentralizados conforme o item 150.1.

Considerações finais

Conforme destacado ao longo do documento, as atualizações incluídas pelo Provimento CGJ nº 16/2025 consolidam um novo patamar regulatório para os serviços notariais e registrais, exigindo das serventias uma atuação mais estruturada na seara da proteção de dados pessoais.

A norma avança ao detalhar obrigações e parâmetros de conformidade proporcionais ao porte da unidade, ao mesmo tempo em que amplia a responsabilização dos delegatários. Ainda, o Provimento não apenas consolida a aplicação da LGPD no setor extrajudicial, como também desloca o eixo de responsabilidade para uma lógica de governança sistêmica e em rede.

Fonte: Conjur