O que aconteceu?
Em 4/5/2022, um incêndio criminoso destruiu 90% do
acervo do Cartório de Registro Civil das Pessoas Naturais e Tabelionato de
Notas da comarca de Itapemirim, no Espírito Santo. Segundo a Polícia Civil, o
objetivo era encobrir evidências de uma investigação em andamento.
Embora as inegáveis perdas materiais, o acervo
felizmente não foi perdido, na medida em que a serventia contava com backup
duplo e em nuvem. Nesse contexto, vale a pena refletir sobre a importância da
segurança da informação para as serventias extrajudiciais.
Por que é tão importante a segurança da informação nos
cartórios?
Desde antes da vigência da Lei Geral de Proteção de
Dados (LGPD), o sistema notarial e registral conta com regulação sobre
segurança da informação, feita por meio do Provimento nº 74/2018, do Conselho
Nacional de Justiça (CNJ).
Nele, são elencadas uma série de medidas técnicas e
administrativas, tais como política de segurança da informação, plano de
continuidade, backup, firewall, proxy, antivírus, nobreak, etc.
A plena adequação ao Provimento 74 custa empenho e
investimento. Diante disso, é comum o questionamento sobre a real necessidade
de tantas salvaguardas. "Nem no Fórum tem tanta coisa!", é o que se
costuma ouvir dos amigos delegatários, ao comentarem tais exigências.
Isso é simples de responder. O nível de segurança deve
ser proporcional ao risco do tratamento de dados, aferido pela relevância,
natureza e volume dos dados tratados, a saber:
1) Relevância: os dados conservados pelas serventias
são de interesse público e albergam, em seu conteúdo, muitos direitos
subjetivos. São de alta relevância para o Estado e para as pessoas em geral;
2) Natureza: muitos dos dados são de natureza sigilosa
ou sensível, exigindo proteção em nível diferenciado;
3) Volume: o banco de dados é sempre volumoso. Nas
empresas, a regra é descartar o máximo possível e guardar apenas o que for
realmente útil. Nos cartórios, a regra é conservar tudo e descartar apenas o
que for obrigatório.
Essas considerações já são suficientes para
percebermos que é justificada a segurança da informação em níveis mais
elevados.
Mas o simples raciocínio é que nada se comparado aos
fatos. São nos momentos difíceis que a necessidade de segurança se torna mais
vívida. Neles, faz todo sentido a máxima segundo a qual a segurança da
informação é sempre excessiva, até o momento em que ela é insuficiente.
O incêndio na serventia de Itapemirim é certamente um
desses momentos que nos colocam a pensar. Nesse texto, comentaremos dois pontos
importantes da estrutura de segurança prescrita no Provimento 74.
Backup
O artigo 3º do Provimento 74 determina que cada
serventia possua o backup (cópia de segurança) de todo o acervo, feito de duas
formas: 1) em mídia eletrônica (ex: HD externo); 2) em formato digital, que é o
backup em nuvem. A respeito, valem duas observações.
A primeira é que o backup deve ser feito todo dia,
pois se o cartório perder seu acervo físico num desastre, será capaz de
reestabelecer as atividades sem grandes perdas.
A segunda é que não basta existir um procedimento de
backup. É importante que ele seja comprovadamente eficaz.
Isso acende um aleta para os contratos com
fornecedores de serviços em TI. Suponhamos que o fornecedor garanta
contratualmente que faz o backup diário, mas nunca faz testes disso. E se o
backup estiver corrompido há muito tempo? Na hora de um incidente,
provavelmente o acervo será prejudicado.
É claro que o responsável pela serventia tem direito a
reparação dos danos. Mas isso resolve o problema?
Para evitar essa situação, é muito importante testar
periodicamente a integridade dos backups, exigindo o envio periódico de
relatórios dessa checagem ao encarregado de dados da serventia.
Este deve analisá-las e avaliar sua eficácia prática,
munindo o responsável pela serventia de informações precisas para que tome as
decisões mais acertadas a fim de conservar o acervo.
Plano de continuidade de negócios
Para além do backup, o Provimento 74 prevê que os
meios de armazenamento utilizados deverão contar com recursos de tolerância a
falhas. Isso evidencia a essencialidade de ter um plano B se algo falhar.
Trata-se do Plano de Continuidade de Negócios (PCN).
Previsto no artigo 2º, inciso I do Provimento 74/CNJ,
o PCN é a listagem dos incidentes que possam afetar o acervo e impedir a
prestação dos serviços. Tais eventos podem ter causas naturais, técnicas e
humanas, estas últimas intencionais ou não. São exemplos: pane elétrica,
infecção por malware, furto, enchente, incêndio, sequestro de dados, dentre
outros.
Tendo em mãos esse mapeamento de possíveis desastres,
a serventia pode antecipar as medidas a serem tomadas em caso de sua
ocorrência. Assim, traça-se um guia de como agir diante de cada contexto.
Com um plano desenhado de antemão — longe do stress e
da pressão do incidente — a serventia possui muito mais condições de agir em
situações emergenciais, pois todo esforço de planejamento já foi feito. Logo, o
PCN permite ações rápidas de contenção de danos, garantindo a continuidade da
atividade sem interrupção, como determina o artigo 7º do Provimento 74.
Ao contrário, não ter um PCN exige do delegatário um
planejamento feito às pressas, no calor do momento. E fatalmente o tempo de
recuperação do acervo é elevado, prejudicando o faturamento da serventia e a
continuidade da prestação do serviço aos usuários.
Por fim, é preciso frisar algo muito importante: o PCN
deve ser escrito.
Quando as leis e regulamentos utilizam os termos "política" ou "plano", com isso querem dizer algo escrito, documentado. É o que se depreende à luz dos padrões de boas práticas em segurança da informação, sobretudo das normas da família ISO 2700. A lógica é simples. Conversas não garantem a segurança necessária para fazer frente aos momentos tensos que seguem a um incidente de segurança.