Identificação
Resolução N. 70 de 14/12/2022
Temas
Proteção de Dados;
Ementa

Dispõe sobre a Política de Privacidade dos Dados Pessoais - PPDP, no âmbito do Tribunal de Justiça de Roraima.

Situação
Vigente
Situação Processual
---
Descrição Processual

Origem
Tribunal Pleno
Fonte
DJe, n. 7293, 28/12/2022, p. 9-15.
Alteração
Legislação Correlata
Observação
 
Texto
Texto Original

RESOLUÇÃO TJRR/TP N. 70, DE 14 DE DEZEMBRO DE 2022.

 

O EGRÉGIO TRIBUNAL DE JUSTIÇA DO ESTADO DE RORAIMA, no uso de suas atribuições legais, e

CONSIDERANDO a vigência da Lei n.  13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados - LGPD;

CONSIDERANDO que os arts. 23 a 30 da Lei n.  13.709/2018 dispõem sobre o tratamento de dados pessoais pelas pessoas jurídicas de direito público;

CONSIDERANDO o teor da Recomendação n.  73, de 20 de agosto de 2020, do Conselho Nacional de Justiça, que dispõe sobre a adoção de medidas preparatórias e ações iniciais dos Tribunais para adequação às disposições contidas na LGPD;

CONSIDERANDO que o art. 1º, inciso II, alínea "a", da supracitada Recomendação prevê a elaboração, pelos tribunais, da política de privacidade para navegação no endereço eletrônico a instituição em relação à Lei Geral de Proteção de Dados Pessoais; e

CONSIDERANDO o contido no SEI n.  0013536-26.2020.8.23.8000,

 

RESOLVE:

 

Art. 1º Instituir a Política de Privacidade dos Dados Pessoais - PPDP no âmbito do Tribunal de Justiça de Roraima - TJRR.

Parágrafo único. São objetivos específicos desta resolução:

I - assegurar níveis adequados de proteção aos dados pessoais tratados pelo TJRR;

II - orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;

III - garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e

V - minimizar os riscos de violação de dados pessoais tratados pelo TJRR e qualquer impacto negativo que resulte dessa violação.

Art. 2º A PPDP estabelece princípios e regras que devem nortear o tratamento de dados pessoais, físicos e digitais, no TJRR, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes para a conformidade do Tribunal às disposições da Lei n.  13.709/2018.

 
Capítulo I
Dos Conceitos

 

Art. 3º Para efeito desta Resolução, fica estabelecido o significado dos seguintes termos e expressões:

I - política: definição de determinado objetivo da instituição e dos meios para atingi-lo;

II - programa: conjunto de mecanismos e procedimentos administrados de forma integrada, reunidos em documento único, no qual são previstas ações articuladas e dinâmicas para atingir determinado objetivo;

III - princípio: norteamento para a atuação de magistrados, servidores, estagiários, terceirizados e de todos os que estabeleçam relação com o TJRR;

IV - gestão de Riscos: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial, capazes de comprometer o alcance dos objetivos organizacionais;

V - público interno: magistrados, servidores e colaboradores (estagiários e terceirizados);

VI - público externo: usuários dos serviços do Tribunal e todos os que, de alguma forma, estabeleçam relações com a instituição;

VII - privacidade: esfera íntima ou particular do indivíduo;

VIII - pessoa física: pessoa natural ou física;

IX - titular: pessoa física a quem se referem os dados pessoais objeto de tratamento; – dado pessoal: informação relativa à pessoa física identificada ou identificável;

X - dado pessoal sensível: informação biométrica ou sobre origem racial ou étnica, saúde, vida sexual, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política;

XI - tratamento dos dados: toda operação realizada com dados pessoais, como aquelas relacionadas a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - ciclo de vida dos dados: todas as etapas de manuseio dos dados, desde o surgimento destes na instituição até o respectivo descarte ou o arquivamento;

XIV - controlador: pessoa jurídica de direito público interno a quem compete definir as principais ações relativas ao tratamento dos dados pessoais;

XV - operador: pessoa física ou jurídica que realiza o tratamento em nome do controlador, em todas as instâncias da instituição ou no âmbito de contratos ou instrumentos congêneres firmados com ele;

XVI - agentes de tratamento: o controlador e o operador;

XVII - encarregado pelo tratamento dos dados pessoais: pessoa física ou jurídica responsável por, dentre outras atribuições, realizar a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador, bem como conhecer detalhadamente todo o tratamento de dados pessoais efetivado na instituição; e

XVIII - Autoridade Nacional de Proteção de Dados - ANPD: órgão vinculado à Presidência da República, a qual caberá, dentre outras atribuições, zelar, implementar, fiscalizar a aplicação da Lei n.  13.709/2018 (LGPD) em todo território nacional, e aplicar sanções em caso de descumprimento de suas determinações.

 
Capítulo II
Dos Princípios aplicáveis

 

Art. 4º Deverão ser considerados os seguintes princípios no tratamento de dados pessoais e em todas as ações relativas a ele:

I - boa-fé: convicção de agir com correção e em conformidade com o Direito;

II - finalidade: o tratamento dos dados deve possuir propósitos legítimos, específicos, explícitos e informados;

III - adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados;

IV - necessidade: limitação do tratamento ao mínimo necessário para o alcance da finalidade, considerados apenas os dados pertinentes, proporcionais e não excessivos;

V - livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais bem como sobre a integralidade deles;

VI - qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do respectivo tratamento;

VII - transparência: garantia aos titulares de informações claras, precisas e acessíveis sobre o tratamento de seus dados pessoais e sobre os agentes de tratamento;

VIII - segurança e prevenção: utilização de medidas técnicas e administrativas que garantam a proteção dos dados pessoais contra acessos não autorizados e a prevenção contra situações acidentais ou ilícitas que gerem destruição, perda, alteração, comunicação ou difusão desses dados;

IX - não discriminação: vedação de realizar o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; e

X - responsabilização e prestação de contas: demonstração de que os agentes de tratamento da instituição são responsáveis por este e adotam medidas eficazes para o cumprimento das normas de proteção dos dados pessoais.

 

Capítulo III
Dos agentes de tratamento de dados pessoais
 
 

Art. 5º No TJRR, o(a) Controlador(a), Operadores(as) e Encarregados(as) são respectivamente o(a) Presidente do Comitê Gestor de Proteção e Privacidade de Dados – CGPPD, magistrados, magistradas, servidores, servidoras, colaboradores e colaboradoras que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.

Parágrafo único. O Comitê será formado por equipe técnica e multidisciplinar. As unidades organizacionais dos membros do CGPPD prestarão assessoria técnica nos assuntos de suas competências.

Art. 6º Compete ao Controlador:

I- designar o(a) Encarregado(a) pelas informações relativas aos dados pessoais;

II- fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, entre as quais:

a) o modo como devem ser tratados os dados pessoais no TJRR, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados;

c) a aplicação de metodologias de segurança da informação;

III- determinar a capacitação do Operador para que atue com responsabilidade, critério e ética;

IV - verificar a observância das instruções e das normas sobre a matéria na instituição;

V - incentivar a disseminação da cultura da privacidade de dados pessoais no Tribunal;

VI - determinar a permanente atualização dessa Política e o desenvolvimento dos respectivos programas; e

VII - comunicar à Autoridade Nacional de Proteção de Dados e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais que possam causar danos ou riscos relevantes ao titular.

Art. 7º Os Operadores serão designados pelo Presidente do Tribunal de Justiça, competindo-lhes realizar o tratamento de dados pessoais em nome do Controlador e segundo as instruções por ele fornecidas.

Art. 8º Compete aos Operadores em todos os níveis:

I - documentar as operações que lhes cabem realizar durante o processo de tratamento de dados pessoais;

II - proteger a privacidade dos dados pessoais desde o ingresso destes na instituição;

III - descrever os tipos de dados coletados;

IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

V - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade; e

VI - supervisionar os demais agentes de tratamento de dados que lhe são subordinados.

Art. 9º O Presidente do Tribunal de Justiça nomeará o encarregado do tratamento de dados pessoais.

Art. 10. Compete ao encarregado:

I - ser o canal de comunicação entre o TJRR e:

a) o titular de dados pessoais;

b) a Autoridade Nacional de Proteção de Dados Pessoais;

II - prestar esclarecimentos, realizar comunicações, orientar o operador e os controlador sobre as práticas tomadas para garantir a proteção de dados pessoais;

III - determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais no Tribunal, em conformidade com o previsto na LGPD;

IV - executar as atribuições a si determinadas pelo controlador;

V - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;

VI - deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;

VII - deter conhecimentos técnicos sobre segurança e governança de dados;

VIII- realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;

IX - manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;

X- apoiar a implementação e a manutenção de práticas de conformidade do TJRR à legislação sobre o tratamento de dados pessoais;

XI - estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais; e

XII - responder por incidentes no tratamento de dados pessoais.

Art. 11. Operadores e encarregados respondem solidariamente por todo tratamento inadequado dos dados pessoais dos quais resultem, dentre outros, prejuízo ao(à) titular e comprometimento da confiabilidade da instituição, devendo assinar termo de responsabilização por agir em desconformidade com a LGPD e esta Resolução.

 
Capítulo IV
Dos direitos dos titulares dos dados pessoais

 

Art. 12. A toda pessoa natural é garantida a titularidade de seus dados pessoais, assegurado ainda os direitos fundamentais de liberdade, privacidade e intimidade.

Art. 13. O titular dos dados pessoais tem direito de obter, a qualquer momento e mediante requisição:

I - confirmação sobre a existência de tratamento de seus dados pessoais;

II- acesso aos dados;

III- correção dos dados que estejam incompletos, inexatos ou desatualizados;

IV- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em

desconformidade com a LGPD;

V- portabilidade de dados pessoais a outro fornecedor de produto ou serviço;

VI- eliminação de dados tratados com o seu consentimento;

VII- obtenção de informações sobre as entidades públicas e privadas com as quais o(a) controlador(a) realizou o compartilhamento de dados pessoais;

VIII- obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências de sua negativa; e

IX- revogação do consentimento dado para o tratamento de dados pessoais.

§ 1º A pessoa natural titular dos dados pessoais tem o direito de peticionar em relação aos seus dados em face do controlador perante a Autoridade Nacional de Proteção de Dados - ANPD.

§ 2º O titular dos dados pode opor-se ao tratamento realizado, com fundamento nas hipóteses de dispensa de consentimento, em caso de descumprimento do previsto na LGPD.

§ 3º Os direitos previstos nesta seção serão exercidos mediante requerimento expresso do titular dos dados ou de seu representante legal a agente de tratamento.

 
Capítulo V
Das boas práticas de segurança e governança

 

Art. 14. O TJRR, dispondo desta Política de Privacidade e Proteção de Dados Pessoais e atuando em conjunto com os agentes de tratamento deve empreender na adoção de medidas de segurança, técnicas e administrativas, aptas à proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Parágrafo único. Embora o TJRR siga padrões e critérios nacionais e internacionais amplamente aceitos, tal precaução não implica em garantia contra a possibilidade de incidentes de segurança ou violação da proteção de dados pessoais, haja vista, sobretudo, a contínua diversificação dos riscos cibernéticos.

Art. 15. O TJRR deverá adotar boas práticas de segurança e governança capazes de inspirar comportamentos adequados e de mitigar os riscos do comprometimento de dados pessoais.

Parágrafo único. As boas práticas adotadas de proteção de dados e governança inseridas deverão ser objeto de campanhas informativas na esfera do TJRR e em seu sítio eletrônico, com vistas a disseminar no seu âmbito uma cultura protetiva, com conscientização e sensibilização dos interessados.

Art. 16. O CGPPD poderá formular regras de boas práticas de segurança e governança que estabeleçam as condições de organização, regime de funcionamento, procedimento, padrões técnicos, normas de segurança, ações educativas, obrigações e competências dos envolvidos no tratamento, mecanismos internos de supervisão e de diminuição dos riscos relacionados ao tratamento de dados pessoais.

 

Capítulo VI
Do Tratamento de Dados Pessoais

 

Art. 17. O tratamento de dados pessoais pelo TJRR será realizado para atendimento da finalidade pública, na persecução do interesse público, com o escopo de executar suas competências legais e de exercer as atribuições do serviço público.

Art. 18. O TJRR realizará o tratamento de dados pessoais desde que estritamente necessários e imprescindíveis à garantia do interesse público e a execução das suas funções jurisdicionais e administrativas.

Art. 19. O Tribunal deve publicar, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu portal na Internet, com vistas à divulgação de informações sobre a privacidade de dados pessoais:

I - as hipóteses que fundamentam a realização do tratamento de dados pessoais na Instituição;

II - a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais;

III - a identificação e o contato do Controlador;

IV - a identificação e o contato do Encarregado;

V - as responsabilidades dos operadores no tratamento dos dados e os direitos do titular, com menção expressa ao art. 18 da LGPD;

VI - a descrição dos titulares;

VII - a categoria de dados;

VIII - as categorias de destinatários;

IX - transferência internacional;

X - o prazo de conservação dos dados;

XI - as medidas de segurança adotadas;

XII - a política de segurança da informação;

XIII - o formulário para o exercício de direitos dos titulares de dados; e

XIV - a política de privacidade para navegação no sítio eletrônico da Instituição em relação à Lei Geral de Proteção de Dados Pessoais e ao art. 7º, VIII, da Lei n.  12.965/2014.

Art. 20. O tratamento de dados pessoais somente poderá ser realizado, independentemente do

fornecimento do consentimento do titular, nas seguintes hipóteses previstas na Lei n.  13.709/2018 (LGPD):

I - para o cumprimento de obrigação legal ou regulatória pelo controlador;

II - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos normativos;

III - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

IV - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o(a) titular junto à Administração Pública;

V - para o exercício regular de direito em processo judicial, administrativo ou arbitral;

VI – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VI - para a tutela da saúde, exclusivamente, em procedimento realizado por profissional da saúde, serviços de saúde ou autoridade sanitária;

VII - para atender interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecer direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e

VIII - para a proteção do crédito.

§ 1º No tratamento de dados pelo poder público, os dados deverão ser mantidos em formato interoperável e estruturado para uso compartilhado, com vistas à execução de suas políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública, à disseminação e ao acesso das informações pelo público em geral.

§ 2º Fica permitido no âmbito nacional o uso compartilhado de dados com outras pessoas de direito público, devendo atender a finalidades específicas de execução de políticas públicas e atribuições legais pelos órgãos e entidades públicos.

 
Capítulo VII
Do tratamento de dados sensíveis e de dados pessoais de crianças e de adolescentes

 

Art. 21. As informações a respeito do tratamento de dados pessoais sensíveis ou referente a crianças ou adolescentes estarão sempre disponíveis em linguagem clara e simples, com transparência, inteligibilidade e acessibilidade, devendo ser utilizados em seu melhor interesse, nos termos da legislação pertinente.

Parágrafo único. As informações sobre o tratamento de dados de crianças e adolescentes deverão ainda levar em consideração as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com o uso de mecanismos audiovisuais, quando forem adequados, de forma a proporcionar a informação necessária aos pais ou ao representante legal, e adequada ao entendimento dos titulares dos dados.

Art. 22. O tratamento de dados sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, e somente para finalidades específicas;

II - sem o consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgãos de pesquisa;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária; e

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Art. 23. O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque por pelo menos um dos pais ou pelo responsável legal.

Parágrafo único. Poderão ser coletados dados pessoais de que trata o caput deste artigo sem o consentimento quando a coleta se mostrar necessária para contatar os pais ou o responsável legal, devendo estes dados serem utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderá ser repassado a terceiro sem o consentimento dos pais ou responsável legal.

 
Capítulo VIII
Do término do tratamento de dados pessoais

 

Art. 24. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I- quando for verificado que a finalidade da coleta foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II- no fim do período de tratamento;

III- por comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou

IV- por determinação da autoridade nacional, quando houver violação ao disposto na LGPD.

Art. 25. Após o término do tratamento dos dados, estes serão eliminados, no âmbito e nos limites técnicos das atividades, autorizada a conservação dos dados para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa;

III - transferência a terceiros, desde que respeitados os requisitos de tratamento de dados; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

 
Capítulo IX
Da Transferência Internacional de Dados

 

Art. 26. A transferência internacional de dados coletados no âmbito do TJRR observará as previsões legais e se orientará pelas disposições da Lei n.  13.709, de 14 de agosto de 2018 (LGPD).

 
Capítulo X
Da Ouvidoria-Geral

 

Art. 27. A Ouvidoria-Geral do TJRR recepcionará as solicitações dos usuários titulares de dados pessoais, objeto de tratamento através de seus canais de acesso disponibilizados no seu portal institucional.

 
Capítulo XI
Das Disposições Finais

 

Art. 28. O disposto nesta Resolução deve ser revisado e aperfeiçoado sempre que houver alterações significativas na arquitetura e/ou tecnologia referente, ou ainda, conforme sejam implementados os respectivos programas e constatada necessidade de novas previsões para conformidade do Tribunal à LGPD, especialmente as derivadas de determinações do Conselho Nacional de Justiça e da Autoridade Nacional de Proteção de Dados.

Art. 29. As informações protegidas por sigilo e os dados pessoais relacionados aos casos de segredo de justiça continuam resguardados pelos atos normativos a elas relacionados.

Art. 30. Os direitos e princípios salvaguardados pela Lei n.  13.709/2018 e por esta Política de Privacidade e Proteção de Dados Pessoais não excluem outros previstos no ordenamento jurídico pátrio.

Art. 31. Os casos omissos serão resolvidos pelo Controlador de dados pessoais, mediante deliberação do respectivo Conselho.

Art. 32. Esta Resolução entra em vigor na data de sua publicação.

 
 
Cristóvão Suter
Presidente
 
 
Este texto não substitui o original publicado no DJe, edição 7293, 28.12.2022, p. 9-15.