Sumário executivo
Este documento detalha o programa de conformidade da Escriba Tecnologia e Gestão em Documentos LTDA à Lei Geral de Proteção de Dados Pessoais — Lei 13.709/2018 ("LGPD") —, no âmbito da operação da plataforma EscJus.
Complementa a Política de Privacidade, aprofundando aspectos de governança, responsabilidade e prestação de contas (accountability), conforme arts. 6º, X, e 50 da LGPD.
Papéis: controlador e operador
Dupla qualificação
A Escriba atua em qualidade distinta conforme a categoria de dado tratado:
- Como Controladora (art. 5º, VI, LGPD)
- Em relação aos dados do Usuário contratante — advogado ou profissional: dados cadastrais, profissionais (OAB), de pagamento, de uso da Plataforma e logs. Sobre estes, a Escriba define as finalidades e os meios.
- Como Operadora (art. 5º, VII, LGPD)
- Em relação aos dados de terceiros (partes, clientes do Usuário) que constam de processos monitorados. A Escriba trata esses dados sob instrução do Usuário-Controlador, limitando-se à indexação e entrega.
Fonte pública e regime especial
Os dados processuais que a Escriba coleta de fontes oficiais são, em sua essência, dados de acesso público (art. 7º, § 3º, LGPD), disponibilizados em cumprimento ao princípio constitucional da publicidade (art. 93, IX, CF, e art. 189, CPC). A LGPD preserva a finalidade, a boa-fé e o interesse público que justificaram sua publicidade original, vedando tratamento incompatível com esses fins.
Art. 7º (...) § 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. — LGPD, Lei 13.709/2018
Princípios aplicados (art. 6º da LGPD)
| Princípio | Aplicação prática |
|---|---|
| Finalidade | Dados são tratados exclusivamente para monitoramento processual e funções contratadas, sem reuso para fins incompatíveis. |
| Adequação | As operações são pertinentes ao contexto da prestação do serviço jurídico. |
| Necessidade | Coletamos o mínimo: número CNJ, dados de contato e dados fiscais para emissão de documento. |
| Livre acesso | O titular pode consultar, a qualquer tempo, quais dados mantemos, por meio do painel ou do DPO. |
| Qualidade dos dados | Canais ativos de correção; reconciliação periódica com as fontes oficiais do CNJ. |
| Transparência | Políticas públicas, versionamento e histórico de alterações. |
| Segurança | Ver seção específica. |
| Prevenção | Ciclo DevSecOps, revisão de código, testes de segurança. |
| Não discriminação | Nenhum dado é usado para tratamento discriminatório de titulares. |
| Responsabilização | Registro interno de operações, avaliações de impacto e este próprio documento. |
Bases legais por operação
Cada operação de tratamento está mapeada internamente a uma base legal (art. 7º e art. 11 da LGPD). Apresenta-se abaixo o sumário; o mapeamento detalhado consta do Registro de Operações (item 5).
| Operação | Base legal | Justificativa |
|---|---|---|
| Cadastro e autenticação | Art. 7º, V | Execução de contrato entre a Escriba e o Usuário. |
| Monitoramento processual | Art. 7º, V + art. 7º, § 3º | Execução de contrato somada ao regime de dados publicamente acessíveis. |
| Envio de notificações WhatsApp/e-mail | Art. 7º, V | Entrega é o próprio objeto contratado. |
| Armazenamento de logs | Art. 7º, II | Obrigação legal (MCI, art. 15) e prevenção de fraude. |
| Emissão de NFS-e e cobrança | Art. 7º, II | Obrigação legal tributária. |
| Analytics agregado | Art. 7º, IX | Legítimo interesse para melhoria do serviço; dados agregados, sem decisão sobre titular individual. |
| Marketing direto | Art. 7º, I | Consentimento específico, revogável a qualquer tempo. |
Registro de operações de tratamento (ROPA)
A Escriba mantém, nos termos do art. 37 da LGPD, Registro de Operações de Tratamento interno, contendo:
- Descrição de cada operação e sua finalidade;
- Tipos de dados e categorias de titulares;
- Base legal invocada;
- Operadores e subprocessadores envolvidos;
- Prazos de retenção;
- Medidas de segurança aplicáveis;
- Fluxos de transferência internacional, quando houver.
O ROPA é revisado trimestralmente e disponibilizado à ANPD mediante requisição formal.
Avaliação de impacto (RIPD/DPIA)
Para operações de alto risco — envolvendo volume significativo de dados, tratamento sistemático ou categorias sensíveis —, elaboramos Relatório de Impacto à Proteção de Dados Pessoais (RIPD), nos moldes do art. 38 da LGPD, contemplando:
- Descrição da operação e dos fluxos;
- Finalidade, necessidade e proporcionalidade;
- Mapeamento de riscos aos direitos dos titulares;
- Medidas e salvaguardas implementadas;
- Avaliação residual do risco.
O RIPD relativo à operação principal (monitoramento processual) está concluído e pode ser disponibilizado à ANPD sob sigilo comercial.
Decisões automatizadas
A Plataforma EscJus não realiza decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente os interesses dos titulares, no sentido do art. 20 da LGPD.
As rotinas de consulta, indexação e envio de notificações são operacionais — não envolvem inferência de perfil, score, ou classificação de conduta. Caso, no futuro, venham a ser introduzidos recursos de inteligência artificial com potencial de enquadramento no art. 20, este documento será atualizado, e será disponibilizada revisão humana sob requerimento.
Transferência internacional de dados
O banco de dados principal reside em São Paulo/BR. Transferências internacionais ocorrem apenas para operadores estritamente necessários (CDN, e-mail transacional, WhatsApp). Nessa hipótese, a Escriba observa o art. 33 da LGPD, com fundamento em:
- Cláusulas contratuais padrão com os operadores, contendo obrigações materialmente equivalentes à LGPD;
- Garantias técnicas — criptografia em trânsito, segregação de dados, controles de acesso;
- Autorização do titular, quando tal base for aplicável.
A Escriba acompanha os atos normativos da ANPD sobre transferência internacional e revisa a arquitetura à medida que novas decisões sejam publicadas.
Plano de resposta a incidentes
Preparação
Procedimentos documentados de detecção, contenção, erradicação, recuperação e comunicação. Equipe técnica treinada e runbooks mantidos atualizados.
Comunicação
Na ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Escriba comunicará, em prazo razoável (referência: 72 horas):
- À ANPD, por meio do canal oficial, com descrição, natureza dos dados, titulares afetados, medidas adotadas e riscos;
- Ao titular, quando aplicável, por e-mail cadastrado, com orientações de mitigação e canal de contato;
- Aos subprocessadores relevantes, se o incidente tiver relação com suas operações.
Pós-incidente
Realização de análise de causa raiz, atualização de controles e revisão do RIPD, se pertinente.
Exercício de direitos pelo titular
Procedimento
- Requerimento — o titular envia solicitação ao DPO (dpo@escribajus.com.br) indicando o direito pretendido (art. 18, LGPD);
- Validação — a Escriba confirma a identidade do requerente, podendo solicitar documento ou confirmação de posse do e-mail cadastrado;
- Triagem — classificação do pedido, verificação de escopo (Controladora ou Operadora) e identificação de restrições legais aplicáveis (segredo de justiça, obrigação fiscal);
- Resposta — em até 15 (quinze) dias, contados do recebimento válido, com explicação técnica e jurídica, em linguagem clara.
Custos
O exercício de direitos é gratuito. Em hipóteses de solicitações manifestamente infundadas ou excessivas, a Escriba poderá, motivadamente, recusar ou cobrar custo razoável de processamento, nos termos do art. 18, § 5º.
Recurso à ANPD
Em caso de insatisfação com a resposta, o titular pode apresentar petição à ANPD (art. 18, § 1º), sem prejuízo das demais vias judiciais.
Encarregado pelo Tratamento de Dados Pessoais
Nos termos do art. 41 da LGPD, a Escriba indica canal específico para o Encarregado, com atribuições de:
- Receber comunicações dos titulares e prestar esclarecimentos;
- Receber comunicações da ANPD e adotar providências;
- Orientar os colaboradores da Escriba sobre práticas de proteção de dados;
- Executar outras atribuições determinadas pelo Controlador ou pela regulação.
Encarregado — Rafael Fernandes de Souza
OAB/ES 35.857 | OAB/DF 72.658
E-mail: dpo@escribajus.com.br
Escriba Tecnologia e Gestão em Documentos LTDA — CNPJ 57.310.830/0001-32 — Vitória/ES
Vitória/ES, 16 de abril de 2026.
Este documento é revisado anualmente e sempre que houver alteração material na estrutura de tratamento, na legislação ou na orientação da ANPD.