Conformidade regulatória

Política de Conformidade à LGPD

Vigência desde 16 de abril de 2026 Versão 1.0 Fundamento Lei 13.709/2018

Seções

  1. Sumário executivo
  2. Papéis: controlador e operador
  3. Princípios aplicados
  4. Bases legais por operação
  5. Registro de operações (ROPA)
  6. Avaliação de impacto (DPIA)
  7. Decisões automatizadas
  8. Transferência internacional
  9. Resposta a incidentes
  10. Exercício de direitos
  11. Encarregado (DPO)

Sumário executivo

Este documento detalha o programa de conformidade da Escriba Tecnologia e Gestão em Documentos LTDA à Lei Geral de Proteção de Dados Pessoais — Lei 13.709/2018 ("LGPD") —, no âmbito da operação da plataforma EscJus.

Complementa a Política de Privacidade, aprofundando aspectos de governança, responsabilidade e prestação de contas (accountability), conforme arts. 6º, X, e 50 da LGPD.

Relação com a Política de Privacidade. Se a Política de Privacidade responde "o que a Escriba faz com seus dados", esta Política LGPD responde "como a Escriba demonstra estar em conformidade". A leitura combinada das duas entrega o panorama completo.

Papéis: controlador e operador

Dupla qualificação

A Escriba atua em qualidade distinta conforme a categoria de dado tratado:

Como Controladora (art. 5º, VI, LGPD)
Em relação aos dados do Usuário contratante — advogado ou profissional: dados cadastrais, profissionais (OAB), de pagamento, de uso da Plataforma e logs. Sobre estes, a Escriba define as finalidades e os meios.
Como Operadora (art. 5º, VII, LGPD)
Em relação aos dados de terceiros (partes, clientes do Usuário) que constam de processos monitorados. A Escriba trata esses dados sob instrução do Usuário-Controlador, limitando-se à indexação e entrega.

Fonte pública e regime especial

Os dados processuais que a Escriba coleta de fontes oficiais são, em sua essência, dados de acesso público (art. 7º, § 3º, LGPD), disponibilizados em cumprimento ao princípio constitucional da publicidade (art. 93, IX, CF, e art. 189, CPC). A LGPD preserva a finalidade, a boa-fé e o interesse público que justificaram sua publicidade original, vedando tratamento incompatível com esses fins.

Art. 7º (...) § 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. — LGPD, Lei 13.709/2018

Princípios aplicados (art. 6º da LGPD)

PrincípioAplicação prática
FinalidadeDados são tratados exclusivamente para monitoramento processual e funções contratadas, sem reuso para fins incompatíveis.
AdequaçãoAs operações são pertinentes ao contexto da prestação do serviço jurídico.
NecessidadeColetamos o mínimo: número CNJ, dados de contato e dados fiscais para emissão de documento.
Livre acessoO titular pode consultar, a qualquer tempo, quais dados mantemos, por meio do painel ou do DPO.
Qualidade dos dadosCanais ativos de correção; reconciliação periódica com as fontes oficiais do CNJ.
TransparênciaPolíticas públicas, versionamento e histórico de alterações.
SegurançaVer seção específica.
PrevençãoCiclo DevSecOps, revisão de código, testes de segurança.
Não discriminaçãoNenhum dado é usado para tratamento discriminatório de titulares.
ResponsabilizaçãoRegistro interno de operações, avaliações de impacto e este próprio documento.

Bases legais por operação

Cada operação de tratamento está mapeada internamente a uma base legal (art. 7º e art. 11 da LGPD). Apresenta-se abaixo o sumário; o mapeamento detalhado consta do Registro de Operações (item 5).

OperaçãoBase legalJustificativa
Cadastro e autenticação Art. 7º, V Execução de contrato entre a Escriba e o Usuário.
Monitoramento processual Art. 7º, V + art. 7º, § 3º Execução de contrato somada ao regime de dados publicamente acessíveis.
Envio de notificações WhatsApp/e-mail Art. 7º, V Entrega é o próprio objeto contratado.
Armazenamento de logs Art. 7º, II Obrigação legal (MCI, art. 15) e prevenção de fraude.
Emissão de NFS-e e cobrança Art. 7º, II Obrigação legal tributária.
Analytics agregado Art. 7º, IX Legítimo interesse para melhoria do serviço; dados agregados, sem decisão sobre titular individual.
Marketing direto Art. 7º, I Consentimento específico, revogável a qualquer tempo.

Registro de operações de tratamento (ROPA)

A Escriba mantém, nos termos do art. 37 da LGPD, Registro de Operações de Tratamento interno, contendo:

  • Descrição de cada operação e sua finalidade;
  • Tipos de dados e categorias de titulares;
  • Base legal invocada;
  • Operadores e subprocessadores envolvidos;
  • Prazos de retenção;
  • Medidas de segurança aplicáveis;
  • Fluxos de transferência internacional, quando houver.

O ROPA é revisado trimestralmente e disponibilizado à ANPD mediante requisição formal.

Avaliação de impacto (RIPD/DPIA)

Para operações de alto risco — envolvendo volume significativo de dados, tratamento sistemático ou categorias sensíveis —, elaboramos Relatório de Impacto à Proteção de Dados Pessoais (RIPD), nos moldes do art. 38 da LGPD, contemplando:

  1. Descrição da operação e dos fluxos;
  2. Finalidade, necessidade e proporcionalidade;
  3. Mapeamento de riscos aos direitos dos titulares;
  4. Medidas e salvaguardas implementadas;
  5. Avaliação residual do risco.

O RIPD relativo à operação principal (monitoramento processual) está concluído e pode ser disponibilizado à ANPD sob sigilo comercial.

Decisões automatizadas

A Plataforma EscJus não realiza decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente os interesses dos titulares, no sentido do art. 20 da LGPD.

As rotinas de consulta, indexação e envio de notificações são operacionais — não envolvem inferência de perfil, score, ou classificação de conduta. Caso, no futuro, venham a ser introduzidos recursos de inteligência artificial com potencial de enquadramento no art. 20, este documento será atualizado, e será disponibilizada revisão humana sob requerimento.

Transferência internacional de dados

O banco de dados principal reside em São Paulo/BR. Transferências internacionais ocorrem apenas para operadores estritamente necessários (CDN, e-mail transacional, WhatsApp). Nessa hipótese, a Escriba observa o art. 33 da LGPD, com fundamento em:

  • Cláusulas contratuais padrão com os operadores, contendo obrigações materialmente equivalentes à LGPD;
  • Garantias técnicas — criptografia em trânsito, segregação de dados, controles de acesso;
  • Autorização do titular, quando tal base for aplicável.

A Escriba acompanha os atos normativos da ANPD sobre transferência internacional e revisa a arquitetura à medida que novas decisões sejam publicadas.

Plano de resposta a incidentes

Preparação

Procedimentos documentados de detecção, contenção, erradicação, recuperação e comunicação. Equipe técnica treinada e runbooks mantidos atualizados.

Comunicação

Na ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Escriba comunicará, em prazo razoável (referência: 72 horas):

  1. À ANPD, por meio do canal oficial, com descrição, natureza dos dados, titulares afetados, medidas adotadas e riscos;
  2. Ao titular, quando aplicável, por e-mail cadastrado, com orientações de mitigação e canal de contato;
  3. Aos subprocessadores relevantes, se o incidente tiver relação com suas operações.

Pós-incidente

Realização de análise de causa raiz, atualização de controles e revisão do RIPD, se pertinente.

Exercício de direitos pelo titular

Procedimento

  1. Requerimento — o titular envia solicitação ao DPO (dpo@escribajus.com.br) indicando o direito pretendido (art. 18, LGPD);
  2. Validação — a Escriba confirma a identidade do requerente, podendo solicitar documento ou confirmação de posse do e-mail cadastrado;
  3. Triagem — classificação do pedido, verificação de escopo (Controladora ou Operadora) e identificação de restrições legais aplicáveis (segredo de justiça, obrigação fiscal);
  4. Resposta — em até 15 (quinze) dias, contados do recebimento válido, com explicação técnica e jurídica, em linguagem clara.

Custos

O exercício de direitos é gratuito. Em hipóteses de solicitações manifestamente infundadas ou excessivas, a Escriba poderá, motivadamente, recusar ou cobrar custo razoável de processamento, nos termos do art. 18, § 5º.

Recurso à ANPD

Em caso de insatisfação com a resposta, o titular pode apresentar petição à ANPD (art. 18, § 1º), sem prejuízo das demais vias judiciais.

Encarregado pelo Tratamento de Dados Pessoais

Nos termos do art. 41 da LGPD, a Escriba indica canal específico para o Encarregado, com atribuições de:

  • Receber comunicações dos titulares e prestar esclarecimentos;
  • Receber comunicações da ANPD e adotar providências;
  • Orientar os colaboradores da Escriba sobre práticas de proteção de dados;
  • Executar outras atribuições determinadas pelo Controlador ou pela regulação.

Encarregado — Rafael Fernandes de Souza
OAB/ES 35.857 | OAB/DF 72.658
E-mail: dpo@escribajus.com.br
Escriba Tecnologia e Gestão em Documentos LTDA — CNPJ 57.310.830/0001-32 — Vitória/ES

Vitória/ES, 16 de abril de 2026.

Este documento é revisado anualmente e sempre que houver alteração material na estrutura de tratamento, na legislação ou na orientação da ANPD.