O que aconteceu?
Em 4/5/2022, um incêndio criminoso destruiu 90% do acervo do Cartório de Registro Civil das Pessoas Naturais e Tabelionato de Notas da comarca de Itapemirim, no Espírito Santo. Segundo a Polícia Civil, o objetivo era encobrir evidências de uma investigação em andamento.
Embora as inegáveis perdas materiais, o acervo felizmente não foi perdido, na medida em que a serventia contava com backup duplo e em nuvem. Nesse contexto, vale a pena refletir sobre a importância da segurança da informação para as serventias extrajudiciais.
Por que é tão importante a segurança da informação nos cartórios?
Desde antes da vigência da Lei Geral de Proteção de Dados (LGPD), o sistema notarial e registral conta com regulação sobre segurança da informação, feita por meio do Provimento nº 74/2018, do Conselho Nacional de Justiça (CNJ).
Nele, são elencadas uma série de medidas técnicas e administrativas, tais como política de segurança da informação, plano de continuidade, backup, firewall, proxy, antivírus, nobreak, etc.
A plena adequação ao Provimento 74 custa empenho e investimento. Diante disso, é comum o questionamento sobre a real necessidade de tantas salvaguardas. “Nem no Fórum tem tanta coisa!”, é o que se costuma ouvir dos amigos delegatários, ao comentarem tais exigências.
Isso é simples de responder. O nível de segurança deve ser proporcional ao risco do tratamento de dados, aferido pela relevância, natureza e volume dos dados tratados, a saber:
1) Relevância: os dados conservados pelas serventias são de interesse público e albergam, em seu conteúdo, muitos direitos subjetivos. São de alta relevância para o Estado e para as pessoas em geral;
2) Natureza: muitos dos dados são de natureza sigilosa ou sensível, exigindo proteção em nível diferenciado;
3) Volume: o banco de dados é sempre volumoso. Nas empresas, a regra é descartar o máximo possível e guardar apenas o que for realmente útil. Nos cartórios, a regra é conservar tudo e descartar apenas o que for obrigatório.
Essas considerações já são suficientes para percebermos que é justificada a segurança da informação em níveis mais elevados.
Mas o simples raciocínio é que nada se comparado aos fatos. São nos momentos difíceis que a necessidade de segurança se torna mais vívida. Neles, faz todo sentido a máxima segundo a qual a segurança da informação é sempre excessiva, até o momento em que ela é insuficiente.
O incêndio na serventia de Itapemirim é certamente um desses momentos que nos colocam a pensar. Nesse texto, comentaremos dois pontos importantes da estrutura de segurança prescrita no Provimento 74.
Backup
O artigo 3º do Provimento 74 determina que cada serventia possua o backup (cópia de segurança) de todo o acervo, feito de duas formas: 1) em mídia eletrônica (ex: HD externo); 2) em formato digital, que é o backup em nuvem. A respeito, valem duas observações.
A primeira é que o backup deve ser feito todo dia, pois se o cartório perder seu acervo físico num desastre, será capaz de reestabelecer as atividades sem grandes perdas.
A segunda é que não basta existir um procedimento de backup. É importante que ele seja comprovadamente eficaz.
Isso acende um aleta para os contratos com fornecedores de serviços em TI. Suponhamos que o fornecedor garanta contratualmente que faz o backup diário, mas nunca faz testes disso. E se o backup estiver corrompido há muito tempo? Na hora de um incidente, provavelmente o acervo será prejudicado.
É claro que o responsável pela serventia tem direito a reparação dos danos. Mas isso resolve o problema?
Para evitar essa situação, é muito importante testar periodicamente a integridade dos backups, exigindo o envio periódico de relatórios dessa checagem ao encarregado de dados da serventia.
Este deve analisá-las e avaliar sua eficácia prática, munindo o responsável pela serventia de informações precisas para que tome as decisões mais acertadas a fim de conservar o acervo.
Plano de continuidade de negócios
Para além do backup, o Provimento 74 prevê que os meios de armazenamento utilizados deverão contar com recursos de tolerância a falhas. Isso evidencia a essencialidade de ter um plano B se algo falhar. Trata-se do Plano de Continuidade de Negócios (PCN).
Previsto no artigo 2º, inciso I do Provimento 74/CNJ, o PCN é a listagem dos incidentes que possam afetar o acervo e impedir a prestação dos serviços. Tais eventos podem ter causas naturais, técnicas e humanas, estas últimas intencionais ou não. São exemplos: pane elétrica, infecção por malware, furto, enchente, incêndio, sequestro de dados, dentre outros.
Tendo em mãos esse mapeamento de possíveis desastres, a serventia pode antecipar as medidas a serem tomadas em caso de sua ocorrência. Assim, traça-se um guia de como agir diante de cada contexto.
Com um plano desenhado de antemão — longe do stress e da pressão do incidente — a serventia possui muito mais condições de agir em situações emergenciais, pois todo esforço de planejamento já foi feito. Logo, o PCN permite ações rápidas de contenção de danos, garantindo a continuidade da atividade sem interrupção, como determina o artigo 7º do Provimento 74.
Ao contrário, não ter um PCN exige do delegatário um planejamento feito às pressas, no calor do momento. E fatalmente o tempo de recuperação do acervo é elevado, prejudicando o faturamento da serventia e a continuidade da prestação do serviço aos usuários.
Por fim, é preciso frisar algo muito importante: o PCN deve ser escrito.
Quando as leis e regulamentos utilizam os termos “política” ou “plano”, com isso querem dizer algo escrito, documentado. É o que se depreende à luz dos padrões de boas práticas em segurança da informação, sobretudo das normas da família ISO 2700. A lógica é simples. Conversas não garantem a segurança necessária para fazer frente aos momentos tensos que seguem a um incidente de segurança.
E isso é perfeitamente compatível com a lógica notarial e de registro. Afinal, se cartórios existem para garantir a segurança jurídica por meio da conservação de atos jurídicos escritos, por que dispensar a segurança da informação proporcionada pelos documentos escritos?