★ Prov. 213/2026Prov. 149/2023Prov. 161/2025
Serventias Extrajudiciais · Responsabilidade do Delegatário

Culpa in Vigilando :A falha técnica é do fornecedor. A perda da Delegação é sua.

Tudo funciona bem — até o dia em que simplesmente pára. Quem nunca encerrou o expediente do cartório com tudo funcionando e no dia seguinte na hora de abrir não conseguiu ligar nem a cafeteira?

É nessa hora que a mesma pessoa que te disse “não precisa colocar isso no contrato, nem vamos cobrar isso de você” pode ser a mesma que te dirá “pois é, nosso contrato não contempla esse serviço.”

— Euzilanea Miotto · Data Secure®

4 fornecedores com risco ativo
3 evidências de omissão
2 caminhos na sindicância
1 risco: perda da Delegação
Solicitar Diagnóstico de Risco

O que é Culpa in Vigilando?

Três perspectivas para entender o conceito antes do fluxo

Vida cotidiana

Você contrata uma babá para cuidar dos seus filhos. A responsabilidade pela segurança deles continua sendo sua. Se ela age de forma negligente e você não monitorava, a Justiça não olha só para ela — olha para você.

Realidade cartorária

O terceiro que presta o serviço de banco de dados, armazenamento ou cópias de segurança falha. A Corregedoria não pergunta ao fornecedor. Ela pergunta ao delegatário: “Você sabia o que estava sendo entregue? Você testava? Tem evidências?”

Princípio jurídico

A responsabilidade não exige má-fé. Basta a omissão de vigilância. Quem delega uma função a um terceiro e não monitora a execução, responde pelo resultado — mesmo sem ter causado diretamente o dano.

Base Legal · Responsabilidade do Delegatário

O que a lei exige do delegatário

Prov. CNJ 213/2026 · Art. 13, §3º

A responsabilidade pelo cumprimento integral dos requisitos normativos permanece pessoal e indelegável do delegatário, ainda que haja contratação de terceiros ou participação em solução coletiva ou compartilhada.

Lei 8.935/94 · Art. 22

Os notários e oficiais de registro são civilmente responsáveis por todos os prejuízos que causarem a terceiros, por culpa ou dolo, pessoalmente — assegurado o direito de regresso.

Lei 8.935/94 · Art. 30 · Incisos I e XIV

São deveres do titular manter em locais seguros os livros, papéis e documentos e observar as normas técnicas estabelecidas pelo juízo competente — incluindo os Provimentos do CNJ.

Lei 8.935/94 · Art. 46

Os livros, fichas, documentos e sistemas de computação deverão permanecer sempre sob a guarda e responsabilidade do titular, que zelará por sua ordem, segurança e conservação.

O delegatário não pode alegar desconhecimento sobre o que os seus fornecedores de TI entregam. A lei impõe o dever de zelar — e zelar significa monitorar ativamente, auditar periodicamente, exigir evidências e manter os planos de continuidade.

como o risco se forma
1
Ponto de partida

Delegatário contrata fornecedores da cadeia de TI

O serviço começa a operar dentro da serventia. O risco entra junto — mas ainda sem consequências. O problema não é a contratação: é o que vem depois.

SGBD — Sistema de Banco de Dados

Guarda todos os atos notariais e registrais. Uma falha no serviço prestado por esse terceiro afeta o acervo inteiro da serventia.

Risco: perda irreversível de acervo

Nuvem — Armazenamento externo

Depósito digital fora da serventia. Sem verificação de quem acessa os dados, como estão protegidos e o que acontece em caso de encerramento.

Risco: acesso indevido e perda de dados

Cópias de segurança — Backup

O terceiro que presta este serviço diz que faz cópia diária. O delegatário acredita e nunca verifica. Na prática, pode não existir nada recuperável.

Risco: cópia que não restaura

Infraestrutura — Rede e servidores

Cabeamento, energia, servidores e conectividade gerenciados por terceiros, sem monitoramento do desempenho real entregue.

Risco: indisponibilidade sem resposta
sem monitoramento
2
Lacuna de vigilância

Ninguém monitora. Ninguém audita. Nada é testado.

É aqui que a omissão de vigilância começa a ser formada. O tempo passa, o fornecedor opera e o delegatário assume que está tudo funcionando — sem qualquer evidência.

Cópia de segurança nunca restaurada

O teste de restauração é o único jeito de saber se uma cópia realmente funciona. Sem ele, o delegatário não sabe — e a Corregedoria sabe que ele não sabe.

Ausência de evidência = omissão configurável

Contrato sem nível de serviço e penalidades

O nível de serviço (SLA) é o compromisso formal do fornecedor: quanto tempo pode ficar fora do ar. Sem ele, o terceiro não tem obrigação nenhuma formal.

Terceiro sem obrigação formal = cartório exposto

Sem PCN, PRD e PRI formalizados

Plano de Continuidade, Recuperação e Resposta a Incidentes. A ausência dos três já é evidência de falta de preparo e diligência perante a Corregedoria.

Exigidos pelo Prov. 213/2026 — ausência é infração

Fornecedor nunca auditado

Auditar significa verificar se o que foi contratado está sendo entregue de fato. Sem auditoria periódica, o delegatário não tem como demonstrar vigilância ativa.

Sem auditoria = vigilância não exercida

A pergunta que a Corregedoria vai fazer

“O delegatário sabia o que estava sendo entregue? Monitorava? Tem como provar?”

O Grande Equívoco das Serventias: LGPD é só a ponta do iceberg

O risco real que pode paralisar a serventia e ameaçar a sua Delegação não vem apenas da proteção de dados — vem da ausência de controle sobre os fornecedores da cadeia de TI: sem monitoramento ativo, sem auditorias, sem testes de restauração, sem contratos com obrigações formais e sem evidências para apresentar à Corregedoria. É exatamente aí que a Data Secure® atua com profundidade.

falha inevitável
3
Evento crítico

A falha acontece

Não é questão de se — é questão de quando.

Devido à ausência de vigilância sobre os fornecedores da cadeia de TI, um incidente operacional se materializa — resultando em paralisação, perda de acesso ao acervo e exposição do delegatário perante a Corregedoria.

Nesse momento, o delegatário precisa apresentar evidências de que exerceu vigilância.

Perda ou corrupção do banco de dados

Atos notariais e registrais inacessíveis ou corrompidos, sem possibilidade de recuperação devido à cópia de segurança nunca ter sido testada.

Invasão silenciosa

Acesso não autorizado ao servidor e banco de dados da serventia, detectado tardiamente por falta de monitoramento, constatando que o invasor fez cópia do acervo e usou as informações como moeda de pressão — diferente de ransomware, que sequestra os dados para pedir resgate.

Indisponibilidade prolongada

Queda de acesso prolongada ao banco de dados ou à infraestrutura sem nível de serviço definido claramente em contrato, como o prazo para restabelecimento ou penalidade contratual.

Exposição de dados das partes

Dados pessoais expostos. O DPO é acionado devido à denúncia das partes por descumprimento da LGPD e dos Provimentos do CNJ — a serventia responde pelas duas frentes simultaneamente.

O momento decisivo

O que acontece depois depende
do que foi feito antes

A Corregedoria inicia a sindicância.

Com vigilância estruturada

Delegatário monitorou e tem evidências

  • Testes periódicos de restauração documentados e datados
  • Contratos com nível de serviço e penalidades formalizadas
  • PCN, PRD e PRI redigidos, testados e atualizados
  • Relatórios periódicos de auditoria dos fornecedores
  • Registro de incidentes com respostas aplicadas
  • Dossiê estruturado para apresentar à Corregedoria
Delegatário protegido.

Sem vigilância

Delegatário não monitorou e não tem evidências

  • Cópia de segurança nunca foi testada na prática
  • Contrato sem nível de serviço — terceiro sem obrigação
  • Nenhum plano de continuidade formalizado
  • Fornecedor nunca foi auditado
  • Nenhum registro de incidentes
  • Nada a apresentar à Corregedoria
Omissão de vigilância configurada. Delegatário responde.

Resultado: delegatário protegido

As evidências transferem a responsabilidade ao terceiro. A sindicância é arquivada ou resulta em penalização exclusiva do fornecedor contratado. A Delegação segue operando.

Resultado: responsabilização pessoal

Sem evidências, o delegatário responde pela falha do terceiro. A omissão de vigilância é reconhecida e as sanções podem ser progressivas.

Multa administrativa
Suspensão temporária da serventia
Risco de possível perda da Delegação
Atenção prioritária
3 situações que evidenciam omissão de vigilância
Situações recorrentes que já são suficientes para responsabilizar o delegatário.
1

Backup nunca testado

O terceiro que presta o serviço diz que faz cópia diária. O delegatário acredita e nunca verifica. Quando o sistema falha — a cópia não restaura. Sem teste documentado, não há como demonstrar vigilância.

Como contratar um seguro de carro e nunca verificar se a cobertura existe — você só descobre na hora do sinistro.
Sem teste = sem vigilância
2

Contrato sem SLA (nível de serviço definido)

O contrato com o terceiro não especifica tempo máximo de indisponibilidade nem penalidades. Na prática, o fornecedor não tem obrigação formal — e o delegatário fica desprotegido.

Como contratar uma reforma sem prazo e sem multa por atraso. Se a obra não acabar, não há nada escrito para cobrar.
Sem SLA = desprotegido
3

Ausência de PCN/PRD/PRI

Sem Plano de Continuidade formalizado e testado, a serventia não demonstra protocolo de resposta a crises.

Como não ter plano de evacuação no trabalho. Se o incêndio acontecer, a culpa não é só do fogo — é de quem não preparou a saída.
Exigido pelo Prov. 213 — ausência é infração
Como estruturar a proteção · Metodologia Data Secure®

Segurança 100% no meio digital não existe.
Tratamento de risco documentado, sim.

Atuamos no tratamento direto das lacunas de vigilância, antes que o evento crítico se materialize. Estruturamos decisões baseadas em risco, controles proporcionais e evidências técnicas verificáveis.

Falamos a língua dos fornecedores da cadeia de TI de igual para igual, sem aceitar discurso técnico sem comprovação, e organizamos as evidências exatamente no formato que a Corregedoria, a Auditoria e os órgãos de controle precisam analisar.

Avaliação da TI

Mapeamos o que o terceiro entrega versus o contratado.

Canal com fornecedores

Diálogo técnico estruturado.

Testes de restauração

Evidência datada e apresentável.

PCN / PRD / PRI

Dossiê de continuidade formalizado.

Auditorias periódicas

Histórico de vigilância ativa.

Evidências irrefutáveis

Tudo organizado para a Corregedoria.

Objetivo: Conduzir a transição regulatória por meio da gestão colaborativa da cadeia de fornecedores de TI, com a definição de prazos monitorados para o recebimento das evidências obrigatórias. O objetivo é resguardar o cartório e mitigar os riscos de responsabilização por falhas de fornecedores, recorrendo a notificações ou rescisões apenas como último recurso.

Euzilanea Miotto
Fundadora · Strategic Advisor · Data Secure®

Euzilanea Miotto

Governança Corporativa Gestão de Riscos (GRC) Compliance Digital

Mais de 30 anos em Governança Corporativa e mais de 15 anos em Serventias Extrajudiciais. Especialista em Governança de TI, Segurança da Informação, Gestão de Riscos, Continuidade de Negócios e Conformidade Digital.

Gestão de Riscos (GRC)Governança de TISegurança da InformaçãoContinuidade de NegóciosGovernança de IAAuditoria de FornecedoresConformidade CNJCompliance DigitalAdequação LGPD
emiotto@datasecure.seg.brdatasecure.seg.br@datasecurebrasilLinkedIn
Responda o checklist gratuito e avalie o status da sua serventia.

Euzilanea Miotto · Data Secure®
Quero receber o Checklist Gratuito