google-site-verification: googlec79a8dde6d277991.html

Atenção:

- Ato extraído do site do TJ/RS em 21/09/2020: (https://www.tjrs.jus.br/static/2020/09/Ato-037-2020-P-LGPD.pdf)

- Cópia que pode conter negritos, destaques e notas para fins didáticos.

- Texto legal revisado em 31/09/2020.

- Para pesquisar palavras-chave na página clique "Ctrl + F" (Windows) ou "Command + F" (Mac).

ATO N.º 37/2020-P

Institui a Política de Proteção e de Segurança de Dados Pessoais no âmbito do Tribunal de Justiça do Rio Grande do Sul.

O Excelentíssimo Senhor Desembargador Voltaire de Lima Moraes, Presidente do Tribunal de Justiça do Estado do Rio Grande do Sul, no uso de suas atribuições legais, tendo em vista a necessidade de atender ao que consta no expediente SEI n.º 8.2020.0022/000008-5,

Considerando a necessidade de implementação das diretrizes normativas da Lei Geral de Proteção de dados (LFPD) no âmbito da estrutura organizacional do Tribunal, de forma a estabelecer uma política de privacidade adequada aos novos desafios propostos pela LGPD em harmonia ao disposto na Lei de Acesso à Informação (LAI);

Considerando a relevância de serem estabelecidos princípios e diretrizes ao enfrentamento das questões de proteção de dados, de forma a disciplinar os registros de tratamento de dados pessoais no âmbito do Tribunal, para que contenham informações suficientes sobre a base legal a seu estabelecimento; as categorias de dados de titulares e de destinatários previstos, a finalidade do tratamento estabelecido; o tempo de conservação dos dados; a gestão quanto ao compartilhamento dos dados e seu alcance; as medidas apontadas como necessárias para a proteção dos dados tratados e a política de segurança da informação estabelecida de forma ampla;

Considerando a inevitabilidade, nos termos da Recomendação n.º 73 do CNJ, de 20 de agosto de 2020, de elaboração de plano de ação que contemple uma política de organização e comunicação do tratamento de dados no âmbito do Tribunal, que estabeleça os direitos e obrigações decorrentes da implementação da LGPD no âmbito interno da instituição, observando situações de controle amplo da informação, seja em relação ao estabelecimento da gestão de confidencialidade e consentimento ao tratamento de dados no âmbito público, seja em relação à forma de retenção desses dados nos diversos sistemas de tratamento estabelecidos;

Considerando a oportunidade de qualificação do processo decisório e de disseminação da cultura de proteção de dados no âmbito deste Tribunal, bem como, nos termos da Resolução n.º 332 do CNJ, de 21 de agosto de 2020, a obediência a critérios éticos de transparência, previsibilidade, precaução, auditabilidade, imparcialidade e não discriminação na tomada de decisões automatizadas, em especial quanto à qualidade dos dados utilizados em termos de segurança de rede e de fonte, responsabilidade, rastreamento e respeito à privacidade dos usuários;

Considerando a necessidade de harmonizar e de tornar eficazes as ações relacionadas à proteção de dados pessoais e de compliance, bem como o compartilhamento de dados pessoais entre setores, unidades e colaboradores, nos planos interno e externo, para o cumprimento da missão institucional do Poder Judiciário e, ainda, a elaboração de parâmetros para a governança de dados,

Resolve:

Art. 1.º - Instituir a política de proteção e de segurança de dados pessoais, físicos e digitais, no âmbito do Poder Judiciário, que preveja, como diretrizes fundamentais, a preservação da privacidade, a inviolabilidade da honra e da imagem de titulares de dados, o respeito à autodeterminação informativa e a observância à liberdade de expressão, de informação, de comunicação e de opinião.

Art. 2.º - Estabelecer a necessidade de justificação, no âmbito interno, da finalidade de realização do tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular da informação, inclusive quanto à adequação e necessidade dos meios estabelecidos para o tratamento.

Art. 3.º - Garantir, no âmbito interno da gestão de dados, ressalvadas as hipóteses justificadas de segredo e sigilo, segurança pública e de estado ou de atividades de atos preparatórios à tomada de decisões, administrativa e judicialmente, o livre acesso aos titulares de dados pessoais para o controle da qualidade e da transparência dos registros.

Art. 4.º - Observar, no processo de tratamento de dados, suficiente proporcionalidade à tomada de decisão, inclusive quanto aos aspectos históricos, científicos, tecnológicos ou estatísticos à informação de interesse público, restringindo-se o tratamento de dados pessoais às condições de necessidade e adequação à realização de sua finalidade e ao objetivo social e à missão institucional do Poder Judiciário.

Ar. 5.º - Para os efeitos deste ato, entende-se por:

I - Dado pessoal: Aquele decorrente de informação relacionada à pessoa natural, identificada ou identificável.

II - Dado pessoal sensível: Aquele vinculado a uma pessoa natural, que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual e à identificação genética ou biométrica.

III - Dado anonimizado: Aquele que não pode ser identificado, observada a utilização de meios técnicos possíveis e disponíveis na ocasião de seu tratamento.

IV - Dado pseudonimizado: Aquele em que ausente é a possibilidade de associação, direta ou indireta, da informação a um indivíduo, senão pelo uso de informação adicional mantida pelo controlador, separadamente, em ambiente seguro de armazenamento.

Parágrafo único - No âmbito administrativo e jurisdicional, os dados pessoais não amparados por sigilo ou segredo de justiça, conforme tomada de decisão prévia para o caso, por autoridade competente, devem observar, para fins de acesso público, a finalidade, a boa-fé e o interesse público que justifiquem a sua disponibilização.

Art. 6.º - O tratamento de dados corresponde a qualquer operação realizada com dados pessoais que se refira à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração de informações.

Art. 7.º - O tratamento de dados, no âmbito do Tribunal, deve ser realizado para o atendimento da finalidade pública desempenhada pela instituição, com objetivo de executar as competências legais ou cumprir as atribuições que lhe são próprias, sempre fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente no sítio eletrônico.

§ 1.º - Em qualquer de suas etapas, o tratamento de dados exige, para fins de prevenção e segurança, a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

§ 2.º - O tratamento de dados somente pode ser realizado, independentemente de fornecimento de consentimento pelo titular, quando:

I - Em razão de cumprimento de obrigação legal ou regulatória.

II - Para execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou outros instrumentos normativos.

III - Para a formação de jurisprudência judicial ou administrativa, observada a sua atribuição como fonte normativa do direito.

IV - Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular junto à administração pública.

V - Para o exercício regular de direitos em processo judicial ou administrativo.

§ 3.º - Fica proibida a realização de tratamento de dados para fins discriminatórios, ilícitos ou abusivos.

§ 4.º - Fica permitido, no âmbito nacional, o uso compartilhado de dados com outras pessoas de direito público, desde que justificada a finalidade para o cumprimento de competências legais.

§ 5.º - Fica vedada a transferência de dados pessoais de direito privado, ressalvadas as seguintes hipóteses:

I - Quando decorrer de execução descentralizada de atividade pública que exija a transparência.

II - Quando se tratar de dados acessíveis publicamente, desde que para finalidade compatível com aquela pela qual o acesso foi tornado público.

III - Quando existente previsão normativa legal ou contratual para fins justificados; ou

IV - Quando objetivar exclusivamente a prevenção de fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular dos dados.

§ 6.º - Toda comunicação ou compartilhamento de dados a pessoas de direito privado deve ser informada à autoridade nacional de proteção de dados e dependerá de consentimento do titular, exceto nas hipóteses de dispensa de consentimento previstas na LGPD ou em casos de transparência justificada, por ponderação, pela LAI.

§ 7.º - A transparência internacional de dados, inclusive para fins de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, deve observar os termos da LGPD e as orientações gerais sobre avaliação do nível de proteção a dados pessoais fornecidas pela autoridade nacional de proteção de dados.

Art. 8.º - O tratamento de dados com base no consentimento deve obedecer a princípios e diretrizes estabelecidos na LGPD e ser realizado no atendimento da finalidade pública desempenhada pela instituição, com o objetivo de executar as competências legais ou cumprir as atribuições que lhe são próprias.

Art. 9.º - Há consentimento do titular quando fundado em manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

§ 1.º O consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, podendo ser revogado, na mesma extensão, a qualquer momento, sem efeito retroativo, mediante manifestação expressa.

§ 2.º - A eliminação dos dados pessoais tratados com base no consentimento do titular deve ser promovida no âmbito e nos limites técnicos das atividades administrativas realizadas, autorizada a conservação para cumprimento de obrigação legal ou regulatória pela instituição.

Art. 10 - O titular pode opor-se ao tratamento de dados pessoais mediante pedido de anonimização, bloqueio ou eliminação de dado ou de conjunto de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

§ 1.º - Considera-se eliminação a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

§ 2.º - Considera-se bloqueio a suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoa ou ou banco de dados.

§ 3.º - O Tribunal deve justificar, por escrito, a impossibilidade de adoção das providências referidas no caput, quando não aplicáveis ao caso.

Art. 11 - O término do tratamento de dados pessoais ocorre quando observado:

I - Perda de finalidade do tratamento ou a ausência de necessidade e pertinência do dado específico à finalidade prevista.

II - Revogação do consentimento do titular, resguardada eventual conservação motivada por interesse público relevante.

III - Fim do período de tratamento.

Parágrafo único - Após o término do tratamento, os dados pessoais devem ser eliminados, conforme determinado pela LGPD, autorizada a conservação para cumprimento de obrigação legal ou regulatória, incluída, nesta, a formação de jurisprudência administrativa e judicial.

Art. 12 - São agentes do tratamento de dados o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador, que realiza o tratamento de dados pessoais em nome do controlador.

§ 1.º - Cabe ao Presidente do Tribunal de Justiça indicar, como encarregado da proteção de dados, magistrado ou servidor para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional de proteção de dados, bem como atuar na definição de políticas de proteção de dados junto à administração.

§ 2.º - Compete ao controlador a realização periódica de relatório de impacto à proteção de dados pessoais que contenha a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

§ 3.º - É também de competência do controlador o estabelecimento de mecanismos de controle à confidencialidade da informação nos tratamentos de dados sob sua responsabilidade.

Art. 13. Todos que se encontrem na condição de controlador ou operador de dados adotar medidas suficientes, quando necessário, à comprovação do atendimento às normas de proteção de dados pessoais, inclusive quanto à finalidade e eficácia do tratamento.

§ 1.º - Para a demonstração da adequação, devem os agentes de tratamento de dados documentar as operações realizadas, comprovando a metodologia empregada para justificar o alcance da finalidade.

§ 2.º - Os agentes de tratamento de dados devem receber capacitação para o desempenho eficiente, ético e responsável de suas funções.

Art. 14 - Na ocorrência de incidente de segurança que possa acarretar risco de dado relevante aos titulares de dados, o fato deve ser comunicado à autoridade nacional de proteção de dados, pelo encarregado da proteção de dados, e aos titulares, em prazo razoável, com informações relacionadas à natureza dos dados pessoais afetados e às medidas técnicas e de segurança utilizadas para proteção de dados, mitigação de riscos e atenuação de danos.

Art. 15 - Os serviços notariais e de registro, exercidos em caráter privado por delegação deste Tribunal, devem observar a mesma disciplina normativa prevista neste ato para o tratamento de dados.

Art. 16 - Este ato entrará em vigor no primeiro dia útil seguinte à data de sua disponibilização no diário da Justiça Eletrônico.

Secretaria da Presidência, 18 de setembro de 2020.

Desembargador Voltaire de Lima Moraes,

Presidente.

Observação: Dados sobre assinatura eletrônica e autenticidade do documento devem ser conferidas no original (acesse aqui).