RESOLUÇÃO PRESI 49/2021
O PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA 1ª REGIÃO, no uso de suas atribuições legais e regimentais e tendo em vista a decisão do Conselho de Administração proferida na sessão do dia 21 de outubro de 2021, nos autos do PAe/SEI 0027847-33.2021.4.01.8000,
a) o disposto na Lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD);
b) a necessidade de dotar a Justiça Federal da 1ª Região de mecanismos de tratamento e proteção de dados pessoais para garantir o cumprimento da norma de regência;
c) os termos da Recomendação CNJ 73, de 20 de agosto de 2020, que recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na LGPD;
d) a Resolução CNJ 363, de 12 de janeiro de 2021, que estabelece medidas para o processo de adequação à LGPD a serem adotadas pelos tribunais;
e) a Resolução CJF 687, de 15 de dezembro de 2020, que altera a Resolução CJF 6, de 7 de abril de 2008, a qual dispõe sobre a implantação da Política de Segurança da Informação do Conselho e da Justiça Federal de 1º e 2° graus,
RESOLVE:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Instituir a Política de Proteção de Dados Pessoais - PPDP no âmbito da Justiça Federal da 1ª Região.
Art. 2º A presente Política de Proteção de Dados Pessoais estabelece as diretrizes, princípios e competências para assegurar a proteção de dados pessoais nas atividades jurisdicionais e administrativas da Justiça Federal da 1ª Região, em conformidade com a Lei Federal 13.709, de 14 de agosto
de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD). Art. 3º A PPDP se aplica a qualquer operação de tratamento de dados pessoais realizada pela Justiça Federal da 1ª Região, por meio do relacionamento com os usuários de serviços jurisdicionais e com os magistrados, servidores, colaboradores, fornecedores e terceiros, que fazem referência aos dados pessoais custodiados dessas relações.
Parágrafo único. Os dados pessoais referidos neste artigo podem estar em qualquer suporte físico ou eletrônico.
Art. 4º A PPDP tem por finalidade garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares, provendo suporte às operações críticas e minimizando riscos identificados e eventuais impactos, em consonância com a legislação brasileira vigente, os regulamentos e orientações do Conselho Nacional de Justiça, do Conselho da Justiça Federal e do Conselho Nacional de Proteção de Dados Pessoais, além das boas práticas e normas técnicas internacionalmente aceitas.
Art. 5º O Tribunal Regional Federal da 1ª Região e as seções judiciárias deverão designar os respectivos encarregados pelo tratamento de dados pessoais, instituir os Comitês Gestores de Proteção de Dados Pessoais e estabelecer os documentos acessórios de proteção de dados pessoais locais.
CAPÍTULO II
DAS REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 6º O tratamento de dados pessoais na Justiça Federal da 1ª Região deve ser regido pela Lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD), em conjunto com as seguintes referências legais e normativas:
I - Lei 9.507, de 12 de novembro de 1997 - disciplina o rito processual do Habeas Data;
II - Lei 9.784, de 29 de janeiro de 1999 - regula o processo administrativo no âmbito da Administração Pública Federal;
III - Lei 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação (LAI);
IV - Lei 12.965, de 23 de abril de 2014 - Marco Civil da Internet;
V - Resolução CNJ 215, de 16 de dezembro de 2015 - dispõe, no âmbito do Poder Judiciário, sobre o acesso à informação e a aplicação da LAI;
VI - Resolução CNJ 363, de 12 de janeiro de 2021 - estabelece medidas para o processo de adequação à LGPD a serem adotadas pelos tribunais;
VII - Norma Técnica ABNT NBR ISO/IEC 27701:2019 - especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) para a gestão da privacidade dentro do contexto da organização;
VIII - Norma Técnica ABNT NBR ISO/IEC 29100:2020 - especifica uma terminologia comum de privacidade, os atores e os seus papéis no tratamento de dados pessoais e descreve considerações de salvaguarda de privacidade;
IX - Guia de Boas Práticas para Implementação na Administração Pública Federal (LGPD).
CAPÍTULO III
DOS TERMOS E DEFINIÇÕES
Art. 7º Para fins do disposto nesta Resolução, adotam-se as seguintes definições, de acordo com a LGPD:
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II - dado pessoal sensível: diz respeito a origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando-se a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em
vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador corporativo para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
CAPÍTULO IV
DOS PRINCÍPIOS
Art. 8º A aplicação da PPDP deve ser pautada pelo dever de boa-fé e pela observância dos seguintes princípios, previstos no art. 6º da LGPD:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO V
DO TRATAMENTO DE DADOS PESSOAIS
Seção I
Das atividades de tratamento de dados pessoais
Art. 9º O tratamento de dados pessoais pelas entidades que compõem a Justiça Federal da 1ª Região será realizado para o atendimento de sua finalidade, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Art. 10. Em atendimento a suas competências legais, a Justiça Federal da 1ª Região poderá, no estrito limite das atividades jurisdicionais, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares.
Parágrafo único. Eventuais atividades que transcendam o escopo da função jurisdicional estarão sujeitas à obtenção de consentimento dos interessados.
Art. 11. A Justiça Federal da 1ª Região deve manter contratações com terceiros para o fornecimento de produtos ou a prestação de serviços necessários a suas operações. Esses contratos poderão, conforme o caso, sem prejuízo da transparência ativa imposta pela legislação vigente, importar em disciplina própria de proteção de dados pessoais, a qual deverá estar disponível a ser consultada pelos interessados.
Art. 12. Os dados pessoais tratados deverão ser:
I - protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou em face de solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de prazos de retenção de dados;
III - compartilhados somente para o exercício das funções judiciárias ou para atendimento de políticas públicas aplicáveis; e
IV - revistos em periodicidade, sendo imediatamente eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter-se encerrado o seu prazo de retenção.
Art. 13. A responsabilidade da Justiça Federal da 1ª Região pelo tratamento de dados pessoais se sujeita aos normativos de proteção de dados vigentes, além do dever de empregar boas práticas de governança e segurança.
Seção II
Do tratamento de dados pessoais de crianças e adolescentes
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes na Justiça Federal da 1ª Região tem a finalidade de atender seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal.
Art. 15. A informação sobre o tratamento de dados pessoais referentes a crianças ou adolescentes deverá estar disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade, na forma da lei.
Seção III
Do compartilhamento de dados pessoais
Art. 16. O compartilhamento dos dados pessoais pode ser realizado pela Justiça Federal da 1ª Região quando destinado à execução de políticas públicas e à prestação dos serviços de sua competência, de acordo com a interoperabilidade dos seus sistemas e serviços de tecnologia da informação.
Parágrafo único. O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII do art. 18 da Lei Federal 13.709/2018.
Art. 17. O uso compartilhado de dados será realizado no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.
Seção IV
Da transferência internacional de dados pessoais
Art. 18. Considerando-se a prestação do serviço administrativo ou judicial, a transferência internacional de dados pessoais pode ser realizada pela Justiça Federal da 1ª Região, com fundamento nas bases legais estabelecidas nos termos da LGPD, somente sendo permitida nos seguintes casos:
I - para países ou organismos internacionais com grau de proteção de dados pessoais
adequado;
II - comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais, tais como: cláusulas contratuais específicas, cláusulas-padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;
III - cooperação jurídica internacional entre órgãos públicos de inteligência, para fins de
investigação;
IV - proteção da vida ou da integridade física do titular ou de terceiro;
V - autorização da ANPD;
VI - compromisso assumido em acordo de cooperação internacional;
VII - execução de política pública ou atribuição legal do serviço público;
VIII - existência de consentimento específico e em destaque do titular dos dados pessoais;
IX - cumprimento de obrigação legal ou regulatória;
X - execução de contrato ou de procedimentos preliminares relacionados a contrato do qualseja parte o titular; ou
XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.
CAPÍTULO VI
DOS DIREITOS DO TITULAR
Art. 19. A Justiça Federal da 1ª Região deverá zelar pela garantia dos seguintes direitos assegurados pela LGPD ao titular do dado pessoal:
I - livre acesso, facilitado e gratuito;
II - confirmação de existência, revisão, retificação e informação dos seus dados pessoais;
III - detalhamento sobre a origem ou o compartilhamento com terceiros;
IV - limitação do uso e divulgação de seus dados pessoais;
V - anonimização, bloqueio, eliminação e portabilidade de seus dados pessoais;
VI - revogação do consentimento, excetuando-se as situações previstas na legiislação
vigente, e recebimento de informações sobre as consequências do não consentimento do uso de seus dados pessoais.
Art. 20. Ao titular do dado pessoal será disponibilizado, nos portais das entidades que compõem a Justiça Federal da 1ª Região, formulário específico de requisição para obtenção de informações sobre o tratamento dos seus dados e a garantia dos direitos previstos na LGPD.
CAPÍTULO VII
DOS AGENTES DE TRATAMENTO E DO ENCARREGADO
Seção I
Do controlador
Art. 21. Considera-se controladora a União, como pessoa jurídica de direito público, a quem competem as decisões referentes ao tratamento dos dados pessoais, no âmbito do Tribunal Regional Federal da 1ª Região e de suas respectivas seções judiciárias, nos termos do art. 5º, inciso VI, da Lei 13.709/2018.
§ 1º Ao TRF1 e às respectivas seções judiciárias, órgãos integrantes do Poder Judiciário da
União, caberá o exercício das atribuições de controlador nas esferas de suas competências.
§ 2º O TRF1 e as seções judiciárias poderão atuar como cocontroladores quando, por
força de lei, convênio ou contrato, determinarem as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.
Art. 22. Compete ao controlador:
I - aprovar, prover condições e promover ações para efetividade da proteção de dados pessoais;
II - designar o encarregado pelo tratamento de dados para conduzir a Política de Proteção
de Dados Pessoais, por meio de ato próprio, e para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD;
III - elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio do respectivo Comitê Gestor de Proteção de Dados Pessoais;
IV - avaliar o enquadramento em pelo menos uma das bases legais em cada ação de tratamento de dados pessoais;
V - acompanhar o ciclo de vida dos dados pessoais, descartando-os ou determinando o descarte, se o caso, quando do término do tratamento;
VI - garantir o cumprimento dos direitos dos titulares;
VII - manter o registro das operações de tratamento de dados pessoais;
VIII - adotar medidas capazes de comprovar a observância e o cumprimento das normas
de proteção de dados pessoais, inclusive a eficácia dessas medidas;
IX - transmitir instruções para o tratamento de dados quando envolver um operador;
X - comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa
acarretar risco ou dano relevante aos titulares;
XI - formular e empregar regras de boas práticas de governança na proteção de dados
pessoais;
XII - adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito;
XIII - prestar informações quando solicitadas pela ANPD.
Seção II
Do operador
Art. 23. Para fins desta política, considera-se operador a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da Justiça Federal da 1ª Região, que realiza o tratamento de dados pessoais em nome e por ordem do controlador.
Art. 24. Os controladores podem, a qualquer tempo, requisitar informações acerca dos dados pessoais confiados aos operadores e estes deverão aderir à PPDP e cumprir os seguintes deveres legais e contratuais entre outros que venham a ser indicados pelo TRF1 ou pelas seções judiciárias:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pelo controlador;
II - apresentar evidências e garantias suficientes de que aplica conjunto adequado de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação e os instrumentos contratuais e de compromisso;
III - manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV - seguir fielmente as diretrizes e instruções transmitidas pelo controlador;
V - facultar o acesso a dados pessoais somente para o pessoal autorizado que tenha estrita
necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao Tribunal Regional Federal da 1ª Região, mediante solicitação;
VI - permitir a realização de auditorias, incluindo-se inspeções do controlador ou de auditor independente por ele autorizado e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII - auxiliar, em toda providência que estiver ao seu alcance, no atendimento de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII - comunicar formalmente e de imediato ao respectivo controlador a ocorrência de
qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX - descartar, de forma irrecuperável, ou devolver para o controlador todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do trataamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Seção III
Do encarregado pelo tratamento de dados pessoais
Art. 25. O encarregado pelo tratamento de dados pessoais deve atender a quaisquer solicitações e sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, no portal institucional do controlador da Justiça Federal da 1ª Região.
Art. 26. Cada encarregado deverá contar com apoio efetivo do Comitê Gestor de Proteção de Dados Pessoais para o adequado desempenho de suas funções, sendo responsável também por:
I - receber as reclamações e comunicações dos titulares, responder e adotar providências;
II - receber as comunicações da ANPD e adotar as providências necessárias;
III - orientar todos os colaboradores do Tribunal e das seções judiciárias sobre as práticas
a serem tomadas em relação à proteção de dados pessoais;
IV - executar outras atribuições determinadas pelo controlador ou estabelecidas em normas
complementares da ANPD.
Art. 27. O Tribunal Regional Federal da 1ª Região poderá padronizar modelos de
comunicação para utilização pelo encarregado no atendimento de solicitações, dúvidas de titulares de dados pessoais e demais procedimentos organizacionais, visando assegurar a celeridade necessária para cumprimento de prazos legais de atendimento.
CAPÍTULO VIII
DO COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS
Art. 28. O Comitê Gestor de Proteção de Dados Pessoais - CGPD, instituído pelo Tribunal e pelas seções judiciárias, será responsável pela avaliação dos mecanismos de tratamento e proteção dos dados pessoais existentes e pela proposição de ações voltadas a seu aperfeiçoamento, com vistas ao cumprimento das disposições da LGPD.
Art. 29. Cada Comitê será composto por membros designados pelo presidente do Tribunal ou pelo diretor do foro, conforme o caso, sob a coordenação do encarregado pelo tratamento dos dados pessoais ou de pessoa indicada pelas autoridades previstas neste artigo.
Art. 30. São atribuições do CGPD:
I - avaliar os mecanismos de tratamento e proteção de dados pessoais existentes e propor políticas, estratégias e metas para conformidade com as disposições da LGPD;
II - formular princípios e diretrizes para a gestão local de dados pessoais e propor sua
regulamentação;
III - supervisionar a execução dos planos, dos projetos e das ações aprovadas para
viabilizar a implantação das diretrizes locais previstas na LGPD;
IV - prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo
com as diretrizes estabelecidas na LGPD, nas normas internas e na Política instituída por esta Resolução;
V - promover o intercâmbio de informações sobre a proteção de dados pessoais com com
outros órgãos.
CAPÍTULO IX
DA SEGURANÇA E BOAS PRÁTICAS
Art. 31. O Tribunal e as seções judiciárias devem dispor de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Art. 32. Devem-se adotar boas práticas e governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais.
Parágrafo único. As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas na esfera interna e nos portais institucionais, visando disseminar cultura protetiva, com conscientização e sensibilização dos interessados.
Art. 33. O encarregado e o Comitê Gestor de Proteção de Dados Pessoais deverão manter o presidente do Tribunal e o diretor do foro, conforme o caso, informados dos fatos significativos e de interesse para conhecimento pelas instâncias respectivas.
Art. 34. A presente Política de Proteção de Dados Pessoais deverá ser revisada e aperfeiçoada permanentemente, conforme sejam implementados os respectivos programas e constatada necessidade de novas previsões para conformidade com a LGPD.
Art. 35. Independentemente da revisão ou atualização desta Política de Privacidade e Proteção de Dados Pessoais, deverá ser elaborado, no mínimo anualmente, um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e propondo Planos de Ação.
CAPÍTULO X
DA FISCALIZAÇÃO
Art. 36. Cada Comitê Gestor de Proteção de Dados Pessoais deverá definir, ad referendum do respectivo controlador, os procedimentos e mecanismos de fiscalização do cumprimento desta Política.
Art. 37. O controlador deve cooperar com fiscalizações promovidas por terceiros legitimamente interessados, observadas as seguintes condições:
I - ser informado formalmente, por escrito e em tempo hábil;
II - ter motivação objetiva e razoável;
III - não afetar a proteção de dados pessoais não abrangidos pelo propósito da
fiscalização;
IV - não causar impacto, dano ou interrupção nos equipamentos, pessoal ou em atividades
do controlador.
Parágrafo único. A inobservância da presente Política de Proteção de Dados Pessoais
acarretará a apuração das responsabilidades internas e externas previstas nas normas da Justiça Federal da 1ª Região e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa.
CAPÍTULO XI
DISPOSIÇÕES FINAIS
Art. 38. Os casos omissos serão avaliados pelo Comitê Gestor de Proteção de Dados Pessoais vinculado ao local de origem do tratamento de dados pessoais, para posterior deliberação por parte do respectivo controlador.
Art. 39. Esta Resolução entra em vigor na data de sua publicação.
Desembargador Federal I'TALO FIORAVANTI SABO MENDES
Presidente