Resolução 9 de 02/09/2020

Institui a Política de Privacidade dos Dados das Pessoas Físicas no Tribunal de Justiça do Distrito Federal e dos Territórios – TJDFT.

Brasão da RepúblicaPoder Judiciário da União
Tribunal de Justiça do Distrito Federal e dos Territórios
Gabinete da Presidência


RESOLUÇÃO 9 DE 02 DE SETEMBRO DE 2020

Institui a Política de Privacidade dos Dados das Pessoas Físicas no Tribunal de Justiça do Distrito Federal e dos Territórios – TJDFT.


O TRIBUNAL PLENO DO TRIBUNAL DE JUSTIÇA DO DISTRITO FEDERAL E DOS TERRITÓRIOS, em virtude de suas atribuições legais; do previsto na Lei 13.709, de 14 de agosto de 2018, a qual dispõe sobre a proteção de dados pessoais e altera a Lei 12.965, de 23 de abril de 2014, o Marco Civil da Internet; na Resolução 21 de 8 de novembro de 2016, que dispõe sobre o Sistema de Gestão da Segurança da Informação e sobre a Política Corporativa de Segurança da Informação no Tribunal; na Resolução 2 de 26 de fevereiro de 2019, a qual estabelece a Política e o Sistema de Governança Institucional do TJDFT; na Portaria Conjunta 102 de 10 de novembro de 2016, que disciplina a aplicação da Lei de Acesso à Informação no Tribunal; na Portaria Conjunta 2 de 4 de janeiro de 2019, que dispõe sobre a Política de Gestão de Riscos e Controles do Tribunal; e do decidido na 12 Sessão Extraordinária realizada em 1º de setembro de 2020,

RESOLVE:

Art. 1º Instituir a Política de Privacidade dos Dados das Pessoas Físicas – PPD no Tribunal de Justiça do Distrito Federal e dos Territórios — TJDFT.

Art. 2º A PPD estabelece princípios e normas que devem nortear o tratamento de dados pessoais, físicos e digitais, no Tribunal, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes iniciais para obtenção da gradual conformidade do TJDFT ao previsto na Lei 13.709, de 2018.


Seção I

Dos Conceitos

Art. 3º Para o disposto nesta Resolução, considera-se:

I – política: definição de determinado objetivo da instituição e dos meios para atingi-lo;

II – programa: conjunto de mecanismos e procedimentos administrados de forma integrada, reunidos em documento único, no qual são previstas ações articuladas e dinâmicas para atingir determinado objetivo;

III – Alta Administração: formada pela Administração Superior e pela Administração Executiva;

IV – Administração Superior: formada pelo Presidente, pelos Vice-Presidentes e pelo Corregedor da Justiça;

V – Administração Executiva: formada pelos chefes de gabinete da Presidência, da Primeira Vice-Presidência, da Segunda Vice-Presidência, da Corregedoria e pelos secretários-gerais da Presidência, do Tribunal e da Corregedoria;

VI – Autoridade Nacional de Proteção de Dados Pessoais: órgão vinculado à Presidência da República, ao qual caberá, dentre outras atribuições, fiscalizar a aplicação da LGPD nas entidades do poder público e aplicar sanções em caso de descumprimento de suas determinações;

VII – princípio: norteamento para a atuação de magistrados, servidores, estagiários, terceirizados e de todos os que estabeleçam relação com o TJDFT;

VIII – Gestão de Riscos: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial, capazes de comprometer o alcance dos objetivos organizacionais;

IX – Público interno: magistrados, servidores e colaboradores (estagiários e terceirizados);

X – Público externo: usuários dos serviços do Tribunal e todos os que, de alguma forma, estabeleçam relações com a instituição;

XI – Privacidade: esfera íntima ou particular do indivíduo;

XII – Pessoa física: pessoa natural ou física;

XIII – Titular: pessoa física a quem se referem os dados pessoais objeto de tratamento;

XIV – Dado pessoal: informação relativa à pessoa física identificada ou identificável;

XV – Dado pessoal sensível: informação biométrica ou sobre origem racial ou étnica, saúde, vida sexual, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política;

XVI – Tratamento dos dados: qualquer atividade pertencente ao ciclo de vida dos dados pessoais;

XVII – Ciclo de vida dos dados: todas as etapas de manuseio dos dados, desde o surgimento destes na instituição até o respectivo descarte ou o arquivamento;

XVIII – Controlador: pessoa jurídica de direito público a quem compete definir todas as ações relativas ao tratamento dos dados pessoais;

XIX – Operador: pessoa física que realiza o tratamento em nome do controlador, em todas as instâncias da instituição ou no âmbito de contratos ou instrumentos congêneres firmados com ele;

XX – Agentes de tratamento: o controlador e o operador;

XXI – Encarregado pelo tratamento dos dados pessoais: pessoa física ou jurídica responsável por, dentre outras atribuições, realizar a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador, bem como conhecer detalhadamente todo o tratamento de dados pessoais efetivado na instituição.


Seção II

Dos Princípios

Art. 4º Deverão ser considerados os seguintes princípios no tratamento de dados pessoais e em todas as ações relativas a ele:

I – boa-fé: convicção de agir com correção e em conformidade com o Direito;

II – finalidade: o tratamento dos dados deve possuir propósitos legítimos, específicos, explícitos e informados;

III – adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados;

IV – necessidade: limitação do tratamento ao mínimo necessário para o alcance da finalidade, considerados apenas os dados pertinentes, proporcionais e não excessivos;

V – livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais bem como sobre a integralidade deles;

VI – qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do respectivo tratamento;

VII – transparência: garantia aos titulares de informações claras, precisas e acessíveis sobre o tratamento de seus dados pessoais e sobre os agentes de tratamento;

VIII – segurança e prevenção: utilização de medidas técnicas e administrativas que garantam a proteção dos dados pessoais contra acessos não autorizados e a prevenção contra situações acidentais ou ilícitas que gerem destruição, perda, alteração, comunicação ou difusão desses dados;

IX – não discriminação: vedação de realizar o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração de que os agentes de tratamento da instituição são responsáveis por este e adotam medidas eficazes para o cumprimento das normas de proteção dos dados pessoais.

Seção III

Do Controlador e dos Operadores de Dados Pessoais

Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais - CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.

§ 1º Os Vice-Presidentes e o Corregedor da Justiça serão os Controladores Adjuntos.

§ 2º O Comitê será formado por equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.

Art. 6º Os operadores são todos aqueles que realizam o tratamento de dados pessoais no Tribunal e em nome deste.

Art. 7º No Tribunal, os operadores são organizados em níveis:

I – Nível 1: os operadores do nível 1 são os supervisores e seus subordinados;

II – Nível 2: os operadores do nível 2 são os subsecretários, os coordenadores e os titulares dos núcleos permanentes;

III – Nível 3: os operadores do nível 3 são os componentes da Administração Executiva, os secretários, os magistrados, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística.

Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior.

Art. 8º Compete ao Controlador e aos Controladores Adjuntos:

I – instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições em conformidade com a LGPD;

II – designar o Encarregado pelas informações relativas aos dados pessoais;

III – fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:

a) o modo como serão tratados os dados pessoais no Tribunal, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados;

c) a aplicação de metodologias de segurança da informação.

IV – determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética;

V – verificar a observância das instruções e das normas sobre a matéria na instituição;

VI – comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;

VII – incentivar a disseminação da cultura da privacidade de dados pessoais no Tribunal;

VIII – determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.

Art. 9º Compete aos operadores em todos os níveis:

I – documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;

II – proteger a privacidade dos dados pessoais desde seu ingresso na instituição;

III – descrever os tipos de dados coletados;

IV – utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

V – capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Art. 10. O controlador e os operadores respondem solidariamente por todo tratamento inadequado dos dados pessoais dos quais resulte, dentre outros, prejuízo ao titular e comprometimento da confiabilidade da instituição.

Seção IV

Do Encarregado pelos Dados Pessoais

Art. 11. O Controlador nomeará um Encarregado pelos dados pessoais no Tribunal.

Art. 12. A função de Encarregado será exercida por um comitê, e caberá ao seu Presidente representá-lo perante o Controlador e a Autoridade Nacional de Proteção de Dados.

Art. 13. Compete ao Encarregado:

I – ser o canal de comunicação entre a instituição e:

a) o titular de dados pessoais;

b) a Autoridade Nacional de Proteção de Dados Pessoais.

II – prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;

III – determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais no Tribunal, em conformidade com o previsto na LGDP;

IV – executar as atribuições a si determinadas pelo Controlador;

V – receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;

VI – deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;

VII – deter conhecimentos técnicos sobre segurança e governança de dados;

VIII – realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;

IX – manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;

X – apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais;

XI – estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;

XII – responder incidentes no tratamento de dados pessoais.

Seção V

Das Normas para o Tratamento de Dados Pessoais no Tribunal

Art. 14. O Tribunal poderá realizar o tratamento mínimo dos dados pessoais, necessário e imprescindível à garantia do interesse público e à execução de suas funções jurisdicional e administrativa.

Art. 15. O Tribunal deverá publicar, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu site, destinado à divulgação de informações sobre a privacidade de dados pessoais:

I – as hipóteses que fundamentam a realização do tratamento de dados pessoais na instituição;

II – a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais;

III – a identificação do controlador e o contato deste;

IV – o nome do encarregado e o contato deste;

V – as responsabilidades dos operadores envolvidos no tratamento e os direitos do titular com menção expressa ao art. 18 da LGPD.

Art. 16. O tratamento dos dados pessoais deverá ser realizado durante todo o ciclo de vida destes na instituição:

I – acesso;

II – coleta;

III – avaliação:

IV – classificação;

V – armazenamento;

VI – controle;

VII – extração;

VIII – comunicação;

IX – distribuição:

X – difusão;

XI – eliminação;

XII – modificação;

XIII – processamento;

XIV – produção;

XV – recepção;

XVI – reprodução;

XVII – transferência;

XVIII – transmissão;

XIX – utilização.


Seção VI

Das Diretrizes

Art. 17. Para conformar os processos e os procedimentos do TJDFT à Lei Geral de Proteção de Dados Pessoais, deverão ser consideradas as seguintes diretrizes:

I – levantamento dos dados pessoais tratados no Tribunal;

II – mapeamento dos fluxos de dados pessoais no Tribunal;

III – verificação da conformidade do tratamento com o previsto na LGPD;

IV – definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no TJDFT;

V – revisão e atualização da política e dos programas de segurança da informação;

VI – definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais durante seu ciclo de vida;

VII – definição do modo de prestar as informações sobre o tratamento de dados pessoais;

VIII – revisão e adequação à LGPD dos contratos firmados no âmbito do Tribunal;

IX – revisão e adequação à LGPD dos processos e procedimentos relacionados à área de saúde;

X – elaboração de Política de Tratamento de Dados Pessoais específica para dados relativos a crianças, jovens e idosos;

XI – definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na parte administrativa do Tribunal.

Seção VII

Das Disposições Finais

Art. 18. Esta Política deverá ser revisada e aperfeiçoada permanentemente, conforme sejam implementados os respectivos programas e constatada necessidade de novas previsões para conformidade do Tribunal à LGPD.

Art. 19. As informações protegidas por sigilo continuam resguardadas pelos atos normativos a elas relacionados.

Art. 20. As omissões deste ato normativo serão dirimidas pela Administração Superior do TJDFT.

Art. 21. Esta Resolução entra em vigor na data de sua publicação.

Desembargador Romeu Gonzaga Neiva
Presidente do TJDFT


ESTE TEXTO NÃO SUBSTITUI O DISPONIBILIZADO NO DJ-E DE 08/09/2020, EDIÇÃO N. 168, FLS. 35/39, DATA DE PUBLICAÇÃO: 09/09/2020