O que um incêndio numa serventia pode ensinar sobre segurança da informação

O que aconteceu?
Em 4/5/2022, um incêndio criminoso destruiu 90% do acervo do Cartório de Registro Civil das Pessoas Naturais e Tabelionato de Notas da comarca de Itapemirim, no Espírito Santo. Segundo a Polícia Civil, o objetivo era encobrir evidências de uma investigação em andamento.

Embora as inegáveis perdas materiais, o acervo felizmente não foi perdido, na medida em que a serventia contava com backup duplo e em nuvem. Nesse contexto, vale a pena refletir sobre a importância da segurança da informação para as serventias extrajudiciais.

Por que é tão importante a segurança da informação nos cartórios?
Desde antes da vigência da Lei Geral de Proteção de Dados (LGPD), o sistema notarial e registral conta com regulação sobre segurança da informação, feita por meio do Provimento nº 74/2018, do Conselho Nacional de Justiça (CNJ).

Nele, são elencadas uma série de medidas técnicas e administrativas, tais como política de segurança da informação, plano de continuidade, backupfirewallproxy, antivírus, nobreak, etc.

A plena adequação ao Provimento 74 custa empenho e investimento. Diante disso, é comum o questionamento sobre a real necessidade de tantas salvaguardas. “Nem no Fórum tem tanta coisa!”, é o que se costuma ouvir dos amigos delegatários, ao comentarem tais exigências.

Isso é simples de responder. O nível de segurança deve ser proporcional ao risco do tratamento de dados, aferido pela relevância, natureza e volume dos dados tratados, a saber:

1) Relevância: os dados conservados pelas serventias são de interesse público e albergam, em seu conteúdo, muitos direitos subjetivos. São de alta relevância para o Estado e para as pessoas em geral;

2) Natureza: muitos dos dados são de natureza sigilosa ou sensível, exigindo proteção em nível diferenciado;

3) Volume: o banco de dados é sempre volumoso. Nas empresas, a regra é descartar o máximo possível e guardar apenas o que for realmente útil. Nos cartórios, a regra é conservar tudo e descartar apenas o que for obrigatório.

Essas considerações já são suficientes para percebermos que é justificada a segurança da informação em níveis mais elevados.

Mas o simples raciocínio é que nada se comparado aos fatos. São nos momentos difíceis que a necessidade de segurança se torna mais vívida. Neles, faz todo sentido a máxima segundo a qual a segurança da informação é sempre excessiva, até o momento em que ela é insuficiente.

O incêndio na serventia de Itapemirim é certamente um desses momentos que nos colocam a pensar. Nesse texto, comentaremos dois pontos importantes da estrutura de segurança prescrita no Provimento 74.

Backup
O artigo 3º do Provimento 74 determina que cada serventia possua o backup (cópia de segurança) de todo o acervo, feito de duas formas: 1) em mídia eletrônica (ex: HD externo); 2) em formato digital, que é o backup em nuvem. A respeito, valem duas observações.

A primeira é que o backup deve ser feito todo dia, pois se o cartório perder seu acervo físico num desastre, será capaz de reestabelecer as atividades sem grandes perdas.

A segunda é que não basta existir um procedimento de backup. É importante que ele seja comprovadamente eficaz.

Isso acende um aleta para os contratos com fornecedores de serviços em TI. Suponhamos que o fornecedor garanta contratualmente que faz o backup diário, mas nunca faz testes disso. E se o backup estiver corrompido há muito tempo? Na hora de um incidente, provavelmente o acervo será prejudicado.

É claro que o responsável pela serventia tem direito a reparação dos danos. Mas isso resolve o problema?

Para evitar essa situação, é muito importante testar periodicamente a integridade dos backups, exigindo o envio periódico de relatórios dessa checagem ao encarregado de dados da serventia.

Este deve analisá-las e avaliar sua eficácia prática, munindo o responsável pela serventia de informações precisas para que tome as decisões mais acertadas a fim de conservar o acervo.

Plano de continuidade de negócios
Para além do backup, o Provimento 74 prevê que os meios de armazenamento utilizados deverão contar com recursos de tolerância a falhas. Isso evidencia a essencialidade de ter um plano B se algo falhar. Trata-se do Plano de Continuidade de Negócios (PCN).

Previsto no artigo 2º, inciso I do Provimento 74/CNJ, o PCN é a listagem dos incidentes que possam afetar o acervo e impedir a prestação dos serviços. Tais eventos podem ter causas naturais, técnicas e humanas, estas últimas intencionais ou não.  São exemplos: pane elétrica, infecção por malware, furto, enchente, incêndio, sequestro de dados, dentre outros.

Tendo em mãos esse mapeamento de possíveis desastres, a serventia pode antecipar as medidas a serem tomadas em caso de sua ocorrência. Assim, traça-se um guia de como agir diante de cada contexto.

Com um plano desenhado de antemão — longe do stress e da pressão do incidente — a serventia possui muito mais condições de agir em situações emergenciais, pois todo esforço de planejamento já foi feito. Logo, o PCN permite ações rápidas de contenção de danos, garantindo a continuidade da atividade sem interrupção, como determina o artigo 7º do Provimento 74.

Ao contrário, não ter um PCN exige do delegatário um planejamento feito às pressas, no calor do momento. E fatalmente o tempo de recuperação do acervo é elevado, prejudicando o faturamento da serventia e a continuidade da prestação do serviço aos usuários.

Por fim, é preciso frisar algo muito importante: o PCN deve ser escrito.

Quando as leis e regulamentos utilizam os termos “política” ou “plano”, com isso querem dizer algo escrito, documentado. É o que se depreende à luz dos padrões de boas práticas em segurança da informação, sobretudo das normas da família ISO 2700. A lógica é simples. Conversas não garantem a segurança necessária para fazer frente aos momentos tensos que seguem a um incidente de segurança.

E isso é perfeitamente compatível com a lógica notarial e de registro. Afinal, se cartórios existem para garantir a segurança jurídica por meio da conservação de atos jurídicos escritos, por que dispensar a segurança da informação proporcionada pelos documentos escritos?

Referências
BRASIL. CNJ. Provimento Nº 74 de 31/07/2018. Dispõe sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil e dá outras providências. Disponível em: https://atos.cnj.jus.br/atos/detalhar/2637. Acesso em 10 mai 2022.
CALIMAN, Beatriz. Delegado acredita que incêndio em cartório no ES foi criminoso. Djalma Pereira, delegado da cidade, afirmou que incêndio na madrugada desta quarta-feira (4) pode ter sido provocado para destruir documentos. A Gazeta, 04 mai 2022. Disponível em: https://www.agazeta.com.br/amp/es/policia/delegado-acredita-que-incendio-em-cartorio-no-es-foi-criminoso-0522. Acesso em 10 mai 2022.
HEMERLY, Bruna. Incêndio criminoso destrói cartório de registro civil e documentos no ES. Caso aconteceu na cidade de Itapemirim, na madrugada desta quarta (4). De acordo com a proprietária do cartório, cerca de 90% do acervo foi queimado. G1, 04 mai 2022.  Disponível em:  https://g1.globo.com/es/espirito-santo/noticia/2022/05/04/incendio-destroi-cartorio-de-registro-civil-e-documentos-no-es.ghtml. Acesso em 10 mai 2022

 

Por João Rodrigo Stinghen e Ana Maria Alves Esquárcio

 

Fonte: Consultor Jurídico