TRE-RN Resolução n.º 48, de 04 de maio de 2021

Institui a Política de Tratamento e Proteção de Dados Pessoais no âmbito do Tribunal Regional Eleitoral do Rio Grande do Norte.

 

 

O TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO NORTE, no uso de suas atribuições legais e regimentais; e

 

CONSIDERANDO o disposto nos arts. 5º, X e XXXIII; 37, caput e § 3º, II; e 216, § 2º, da Constituição da República Federativa do Brasil, promulgada em 5 de outubro de 1988;

 

CONSIDERANDO o disposto na Lei n.º 13.709, de 14 de agosto de 2018, - Lei Geral de Proteção de dados Pessoais (LGPD), que altera a Lei n.º 12.965, de 23 de abril de 2014, o Marco Civil da Internet;

 

CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos titulares nos atos processuais e administrativos;

 

CONSIDERANDO a Recomendação CNJ n.º 73, de 20 de agosto de 2020, que recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na (LGPD);

 

CONSIDERANDO a Resolução CNJ n.º 363, de 12 de janeiro de 2021, que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais;

 

RESOLVE:

 

Art. 1º Instituir a Política de Tratamento e Proteção de Dados Pessoais do Tribunal Regional Eleitoral do Rio Grande do Norte (TRE-RN) na forma que segue.

 

Art. 2º A Política de Tratamento e Proteção de Dados Pessoais estabelece os conceitos, princípios, diretrizes e procedimentos, assim como define os responsáveis pelas ações de tratamento e proteção de dados pessoais no âmbito do TRE-RN, a fim de garantir a privacidade de seus titulares, em conformidade com o previsto na Lei Geral de Proteção de Dados Pessoais (LGPD).

 

Seção I

Dos Conceitos

 

Art. 3º Para o disposto nesta Resolução, considera-se:

I - informação: fonte ou produto de processo de conhecimento, por qualquer meio, formato ou suporte;

II - dado pessoal: informação relacionada à pessoa natural identificada ou identificável; III - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

IV - dado pessoal anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

V - privacidade: esfera privada da vida de pessoa natural;

VI - titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento; VII - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

VIII - ciclo de vida: todas as etapas de manuseio dos dados, desde o surgimento destes na instituição até o respectivo descarte ou arquivamento;

IX - Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional;

X - controlador: responsável por esta Política e pelo Programa de Tratamento e Proteção de Dados Pessoais, a quem competem as decisões referentes ao tratamento de dados pessoais;

XI - encarregado: responsável pela comunicação entre o TRE-RN, a ANPD e os titulares de dados pessoais e pela orientação dos demais responsáveis quanto à aplicação adequada da legislação de regência, desta Política e do Programa de Tratamento e Proteção de Dados Pessoais, assim como das boas práticas de tratamento e proteção de dados pessoais;

XII - Comitê Gestor de Proteção de Dados Pessoais: responsável pela implementação desta Política e do Programa de Tratamento e Proteção de Dados Pessoais, coordena a supervisão das ações de tratamento e proteção de dados pessoais;

XIII - operador: responsável por ação de tratamento e/ou proteção de dados pessoais; XIV - política: definição de determinado objetivo institucional e dos respectivos conceitos, princípios, diretrizes, procedimentos e responsáveis;

XV - programa: conjunto articulado de projetos, planos, processos e ações para atingir determinado objetivo institucional, de acordo com a política que o define;

XVI - gestão de riscos: processo contínuo e integrado de ações de identificação e avaliação de situação de vulnerabilidade e elaboração e execução de plano de resposta a incidente de violação de políticas e programas;

XVII - tratamento dos dados: qualquer atividade pertencente ao ciclo de vida dos dados pessoais;

XVIII - agentes de tratamento: o controlador e o operador;

XIX - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; XX - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; e

XXI - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

 

Seção II

Dos Princípios

 

Art. 4º Toda ação de tratamento e proteção de dados pessoais deve observar os seguintes princípios:

I - boa-fé: todas as ações de tratamento e/ou proteção são realizadas em conformidade à legislação de regência, à moralidade administrativa e à ética profissional e com vistas à consecução do interesse público e das funções jurisdicional e administrativa deste Tribunal;

II - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

III - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

IV - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

V - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

VI - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VII - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VIII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

IX - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento;

X - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

XI - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

Seção III

Das Diretrizes

 

Art. 5º Para conformar as ações de tratamento e proteção de dados pessoais no âmbito do TRERN à LGPD, deverão ser consideradas as seguintes diretrizes:

I - elaboração do Programa de Tratamento e Proteção de Dados Pessoais, contendo, no mínimo as etapas de:

a) inventário de dados pessoais, do qual constará, no mínimo, o tipo de dado pessoal, ambiente de tratamento, o responsável pelas ações de tratamento e proteção e o ciclo de vida;

b) transparência ativa e passiva do Tribunal em relação ao tratamento e proteção de dados pessoais;

c) gestão dos dados pessoais, com a definição do ciclo de vida dos dados pessoais, gestão do consentimento, tratamento dos dados sensíveis e revisão dos instrumentos processuais e contratuais do Tribunal;

d) levantamento de direitos dos titulares dos dados pessoais;

e) implantação de programa de conformidade;

f) elaboração do Relatório de Impacto; e

g) elaboração do Plano de Gestão de Riscos e o Plano de Resposta a Incidente de Segurança.

II - definição de procedimentos que garantam a confiabilidade e a integridade dos dados pessoais durante todo seu ciclo de vida;

III - padronização de informações que envolvam dados pessoais, com a utilização de dados pessoais anonimizados, quando possível;

IV - elaboração de modelos e formulários de termos de ciência de tratamento e proteção e de consentimento para disponibilização de dados pessoais, quando necessário; e

V - adequação dos normativos, documentos e sistemas informatizados à legislação de referência.

 

Seção IV

Dos Procedimentos

 

Art. 6º O TRE-RN realizará o tratamento mínimo dos dados pessoais, necessário e imprescindível à garantia do interesse público e à execução de suas funções jurisdicional e administrativa, garantida a privacidade dos titulares.

Art. 7º O TRE-RN divulgará, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu website e em suas redes sociais, as seguintes informações:

I - esta Política e o Programa de Tratamento e Proteção de Dados Pessoais;

II - informações básicas da LGPD, incluindo os requisitos para o tratamento e a proteção de dados pessoais na instituição, as obrigações do Controlador e os direitos dos titulares;

III - identificação e contatos do Controlador e do Encarregado;

IV - canais e formas de comunicação com o Encarregado, bem como formulários para o exercício de direitos dos titulares de dados pessoais;

V - política de privacidade para navegação no website do TRE-RN em relação à LGPD e à Lei 12.965/2014 (Marco Civil da Internet); e

VI - registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:

a) tipo de dado pessoal e ambiente de tratamento;

b) finalidade do tratamento;

c) prazo de conservação;

d) base legal;

e) descrição dos titulares;

f) categorias de destinatários;

g) transferência internacional, se houver;

h) medidas de segurança adotadas; e

i) gestão de riscos das ações de tratamento e proteção de dados pessoais.

Art. 8º O tratamento de dados pessoais, durante todo o seu ciclo de vida, deverá ser realizado englobando as seguintes atividades: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Art. 9º Os titulares de dados pessoais exercerão seus direitos de acordo com os procedimentos e prazos da LGPD e pelos canais e formas de comunicação disponíveis na Ouvidoria Eleitoral.

 

Seção V

Dos Responsáveis

 

Art. 10. A função de Controlador será exercida pelo titular ou substituto da Presidência do TRE-RN, competindo-lhe, especialmente:

I - designar o Encarregado e o Comitê Gestor de Proteção de Dados Pessoais;

II - designar Grupo de Trabalho Técnico de caráter multidisciplinar para auxiliar nas funções junto ao encarregado pelo GT, composto, entre outros, por servidores da área de tecnologia, segurança da informação e jurídica;

III - aprovar o Programa de Tratamento e Proteção de Dados Pessoais, baseando-se em metodologias e instrumentos de governança, gestão de riscos e segurança da informação, a fim de que as ações de tratamento de dados pessoais, durante todo o seu ciclo de vida, sejam permanente e plenamente auditáveis;

IV - instruir os operadores para a realização de ações de tratamento e proteção de dados pessoais, verificando a conformidade dessas ações à legislação de regência e as boas práticas da área, assim como a esta Política e ao respectivo Programa;

V - revisar e aperfeiçoar esta Política e o Programa de Tratamento e Proteção de Dados Pessoais, quando necessário;

VI - comunicar à Autoridade Nacional e aos titulares, em prazo razoável, a ocorrência e resposta a incidente de segurança que possa acarretar-lhes risco ou dano relevante; e

VII - disseminar a cultura da proteção de dados pessoais.

Art. 11. A função de Encarregado será exercida por pessoa com conhecimento e experiência na legislação de regência e nas boas práticas de tratamento e proteção de dados pessoais e será designada pelo Controlador, competindo-lhe, especialmente:

I - ser o canal de comunicação entre a instituição e:

a) o titular de dados pessoais;

b) a Autoridade Nacional de Proteção de Dados Pessoais.

II - prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;

III - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;

IV - dar ampla publicidade à Política e ao Programa de Tratamento e Proteção de Dados Pessoais e a instrumentos normativos congêneres, assim como divulgar informações de interesse público sobre o tema;

V - manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;

VI - orientar os demais responsáveis quanto à aplicação adequada da legislação de regência e às boas práticas de tratamento e proteção de dados pessoais; e

VII - apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais.

Art. 12. O Grupo de Trabalho Técnico, de caráter multidisciplinar, auxiliará nas funções junto ao Encarregado e será composto, entre outros, por servidores da área de tecnologia, segurança da informação e jurídica.

Art. 13. O Comitê Gestor de Proteção de Dados Pessoais é subordinado diretamente ao Controlador e terá caráter multidisciplinar, competindo-lhe, especialmente:

I - auxiliar o Controlador e o Encarregado a desempenharem suas funções;

II - implementar esta Política;

III - analisar os mecanismos de tratamento e proteção de dados pessoais existentes e propor políticas e estratégias para o TRE/RN, de acordo com a Lei n. 13.709/2018;

IV - estabelecer princípios e diretrizes para a gestão de dados pessoais no TRE/RN;

V - criar padrões, programas, campanhas, normas e propor a devida regulamentação;

VI - elaborar e, após a aprovação pelo Controlador, implementar o Programa de Tratamento e Proteção de Dados Pessoais;

VII - supervisionar a execução dos planos, dos projetos e das ações aprovados para viabilizar a implantação das diretrizes previstas na Lei n. 13.709, de 2018;

VIII - promover a conscientização da proteção de dados pessoais com treinamentos, divulgação de ações entre os seus membros e a criação de grupos de estudos sobre boas práticas sobre o tema, com a finalidade de promover a cultura de proteção de dados no âmbito interno e externo do Tribunal Regional Eleitoral do Rio Grande do Norte;

IX - prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na Lei n. 13.709/2018 e nas normas internas;

X - assessorar a Presidência do TRE/RN quanto à padronização e compatibilização de cláusulas de contratos administrativos com a Lei Federal no 13.709/2018;

XI - monitorar a matriz de riscos, o nível de maturidade e governança dos processos de proteção de dados pessoais, tomando medidas para adequá-las aos padrões desejáveis; XII - ofertar parecer sobre privacidade e proteção de dados pessoais nos casos em que for consultado pelo Encarregado;

XIII - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos;

XIV - elaborar o Relatório de Impacto e, após aprovação pelo Controlador, coordenar e supervisionar sua implementação;

XV - executar ou orientar a execução de resposta a incidente de segurança; e

XVI - realizar outras ações pertinentes à Lei Geral de Proteção de Dados.

§ 1º O Encarregado poderá participar, por iniciativa própria ou a convite, das reuniões e deliberações do Comitê Gestor de Proteção de Dados Pessoais.

§ 2º O Comitê Gestor de Proteção de Dados Pessoais apresentará, periódica e regularmente, relatórios de suas atividades, bem como comunicará, oportuna e prontamente, qualquer situação de vulnerabilidade ou incidente de segurança ao Controlador e ao Encarregado.

§ 3º No desempenho de suas atribuições institucionais, o Comitê Gestor de Proteção de Dados Pessoais deverá observar as diretrizes da Política de Segurança da Informação da Justiça Eleitoral e a do Tribunal Regional Eleitoral do Rio Grande do Norte e atuar de forma coordenada com a Comissão Permanente de Segurança da Informação (CPSI) e a Comissão Permanente de Avaliação Documental (CPAD).

Art. 14. Os operadores são todos aqueles que realizam o tratamento de dados pessoais no Tribunal e em nome deste, nos termos e limites de suas atribuições, competindo-lhe, especialmente:

I - proteger a privacidade dos dados pessoais a que tenham acesso durante sua participação no ciclo de vida;

II - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

III - documentar as operações que efetuarem, narrando suas ações e descrevendo os tipos de dados pessoais e ambientes de tratamento a que tenham acesso; e

IV - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

§ 1º O Operador será supervisionado pelo respectivo Comitê Gestor de Proteção de Dados Pessoais.

§ 2º Quando o Operador for magistrado, o Comitê Gestor de Proteção de Dados Pessoais reportará a supervisão ao Controlador, que adotará as providências que julgar pertinentes.

Art. 15. A ocorrência de incidente de segurança será tratada em conformidade com o Plano de Resposta a Incidente de Segurança, comunicando-se prontamente ao Controlador, ao Encarregado e, oportunamente, à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular. Parágrafo único. Em caso de dano, os diretamente envolvidos serão responsabilizados nos termos da legislação de regência.

 

Seção VI

Das Disposições Finais

 

Art. 16. Esta Política será revisada e aperfeiçoada permanentemente, quando necessário adequála à legislação de regência e às boas práticas da área.

Art. 17. As informações protegidas por sigilo continuam resguardadas pelos atos normativos a elas relacionados.

Art. 18. As omissões e os conflitos de interesse serão dirimidos pelo Comitê Gestor de Proteção de Dados Pessoais, com recurso para o Controlador.

Art. 19. Esta Resolução entra em vigor na data de sua publicação.

 

Sala das Sessões, 04 de maio de 2021.

 

Desembargador Gilson Barbosa

Presidente Desembargador

 

Cláudio Santos

Vice-Presidente

 

Juiz Carlos Wagner Dias Ferreira

 

Juiz Geraldo Mota Juíza Erika de Paiva Duarte Tinôco

 

Juíza Adriana Cavalcanti Magalhães Faustino Ferreira

 

Juiz Fernando de Araújo Jales Costa

 

Doutor Ronaldo Sérgio Chaves Fernandes

Procurador Regional Eleitoral

 

(Publicada no DJE TRE/RN de 06/05/2021)