POLÍTICA Nº 55, DE 29 DE MARÇO DE 2021.
Estabelece diretrizes para a Privacidade e Proteção de Dados Pessoais no âmbito do Tribunal Regional do Trabalho da 9ª. Região.
O DESEMBARGADOR DO TRABALHO, PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 9ª REGIÃO, usando de suas atribuições legais, diante do disposto no art. 25 do Regimento Interno,
CONSIDERANDO o disposto nos incisos X e XII do art. 5º da Constituição da República, que instituem o direito à privacidade;
CONSIDERANDO a Lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD);
CONSIDERANDO a Lei 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação;
CONSIDERANDO a Lei 12.965, de 23 de abril de 2014 - Marco Civil da Internet;
CONSIDERANDO a Resolução CNJ nº 363, de 12 de janeiro de 2021, que estabeleceu medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais;
CONSIDERANDO a Resolução CNJ nº 370, de 28 de janeiro de 2021, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);
CONSIDERANDO a Resolução do CNJ nº 121, de 05 de maio de 2010, que dispõe sobre a divulgação de dados processuais eletrônicos na rede mundial de computadores, expedição de certidões judiciais e dá outras providências;
CONSIDERANDO a Resolução CNJ nº 325, de 29 de junho de 2020, que estabeleceu a Estratégia Nacional do Poder Judiciário 2021-2026 e dá outras providências;
CONSIDERANDO a Recomendação do CNJ nº 73, de 20 de agosto de 2020;
CONSIDERANDO o Regimento Interno do Tribunal Regional do Trabalho da 9ª Região;
CONSIDERANDO a Resolução Administrativa 45/2018, de 25 de junho de 2018, que regulamentou a Lei de Acesso à Informação (Lei 12.527/2011) no âmbito do Tribunal Regional do Trabalho da 9a. Região;
CONSIDERANDO a Política de Segurança da Informação do Tribunal Regional do Trabalho da 9ª Região, Política 28/2018, referendada por meio da Resolução Administrativa 85/2018, de 26 de novembro de 2018;
CONSIDERANDO a Política de Gestão de Riscos e de Continuidade de Negócio do Tribunal Regional do Trabalho da 9ª Região, Política 56/2021;
CONSIDERANDO o Ato Presidência 134/2020, que instituiu e disciplinou a composição e as atribuições da COMISSÃO DA LEI GERAL DE PROTEÇÃO DE DADOS (CLGPD) no Tribunal Regional do Trabalho da 9ª Região;
R E S O L V E, ad referendum do Tribunal Pleno:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Instituir, no âmbito do Tribunal Regional do Trabalho da 9ª. Região (TRT9), a POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS – PPPD, com o objetivo de definir e divulgar suas regras de privacidade, proteção e tratamento de dados pessoais.
Parágrafo único. A presente Política regula a proteção de dados pessoais nas atividades jurisdicionais e administrativas do TRT9, bem como no relacionamento do Tribunal com os titulares dos dados pessoais cujo tratamento seja por aquele realizado.
Art. 2º Além das definições contidas da LGPD sobre princípios, papéis e classificação dos tipos de dados pessoais, considera-se:
I – GESTÃO DE RISCOS: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial, capazes de comprometer o alcance dos objetivos organizacionais;
II – PÚBLICO INTERNO: magistrados, servidores, estagiários e empregados de empresas terceirizadas com prestação de serviços diretos ao Tribunal;
III – PÚBLICO EXTERNO: usuários dos serviços do Tribunal e todos os que, de alguma forma, estabeleçam relações com a instituição; e
IV – COOKIE: pequeno arquivo de computador ou pacote de dados enviados por um site de Internet para o navegador do usuário, quando o utilizador visita o site. Cada vez que o usuário visita o site novamente, o navegador envia o cookie de volta para o servidor para notificar atividades prévias do usuário, com o objetivo de melhorar a experiência de navegação.
Art. 3º Compete ao Presidente do Tribunal a gestão da Política de Privacidade e Proteção de Dados Pessoais, com apoio do Encarregado pelo Tratamento de Dados Pessoais.
Art. 4º O tratamento dos dados pessoais realizado nos sistemas computacionais geridos pelo TRT9 será regulado por Portaria do Presidente, observadas as diretrizes desta Política.
Parágrafo único. Ocorrerá de modo residual ou de modo subsidiário, a regulamentação do tratamento de dados pessoais realizados em sistemas computacionais com disciplinas próprias do Conselho Nacional de Justiça e do Conselho Superior da Justiça do Trabalho.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Art. 5º O tratamento de dados pessoais pelo TRT9 é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Parágrafo único. O Regimento Interno do TRT9 e as demais normas de organização judiciária definem as funções e atividades que constituem as finalidades e os critérios balizadores do tratamento de dados pessoais para fins desta Política.
Art. 6º O TRT9 poderá, nas atividades voltadas ao estrito exercício de suas competências legais e constitucionais, proceder ao tratamento de dados pessoais independentemente de consentimento dos titulares.
Parágrafo único. No exercício de atividades administrativas não vinculadas diretamente ao exercício das competências legais e constitucionais, o TRT9 deverá obter o consentimento dos titulares para tratamento de dados pessoais.
Art. 7º Os dados pessoais tratados pelo TRT9 devem ser:
I - protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou face a solicitação de remoção ou revogação do consentimento pelo titular, desde que não presentes as hipóteses do Art. 7º, III da LGPD;
III - compartilhados somente para o exercício das atividades voltadas ao estrito exercício de suas competências legais e constitucionais, ou para atendimento de políticas públicas aplicáveis; e
IV - revistos em periodicidade mínima anual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 8º A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara, simples, concisa, transparente, inteligível e acessível, na forma da lei e de acordo com as regras do regime de tramitação sob segredo de justiça.
Art. 9º A responsabilidade do TRT9 pelo tratamento de dados pessoais estará circunscrita aos deveres decorrentes do exercício de suas atribuições legais e institucionais e do emprego de boas práticas de governança e de segurança da informação, conforme estabelecidas pela LGPD e resoluções do Conselho Nacional de Justiça e Conselho Superior da Justiça do Trabalho.
Art. 10. O TRT9 deve zelar para que o titular do dado pessoal usufrua dos direitos assegurados pela LGPD e pela legislação e regulamentação correlatas, informando adequadamente os procedimentos necessários à sua fruição nos respectivos sítios eletrônicos e materiais de divulgação específicos.
CAPÍTULO III
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 11. Para os efeitos da LGPD, o próprio TRT9 detém a condição de Controlador e Operador dos dados pessoais. Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a identificação das pessoas da instituição, inclusive terceirizados que, de alguma maneira, em razão de suas atribuições funcionais promovam o tratamento de dados pessoais.
Art. 12. Compete aos gestores dos processos de trabalho em suas respectivas áreas:
I – documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais, exceto quando não existir sistema computacional que possa dar cabo dessa atividade de modo automatizado;
II – atuar de modo propositivo na proteção da privacidade dos dados pessoais desde seu ingresso na instituição;
III – utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo; e
IV – participar das capacitações promovidas pelo Tribunal no âmbito da presente Política para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.
CAPÍTULO IV
DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
Art. 13. A função de Encarregado pelo Tratamento de Dados Pessoais será exercida por Juiz Auxiliar da Presidência indicado pelo Presidente do TRT9.
§1º Além das atribuições contidas na LGPD compete ao Encarregado receber os pedidos dos titulares dos dados pessoais, para análise e encaminhamento conforme a natureza da demanda e devolver a resposta adequada e em prazo razoável.
§2º O Encarregado contará com apoio efetivo do Comitê Gestor de Proteção de Dados Pessoais e do Grupo de Trabalho Técnico, no âmbito das competências atribuídas a cada uma dessas estruturas.
§3º O Comitê poderá oferecer parecer técnico para subsidiar as respostas aos pedidos dos titulares dos dados pessoais.
CAPÍTULO V
DOS CONTRATOS
Art. 14. O TRT9 poderá requisitar, a qualquer tempo e desde que não seja objeto de sigilo ou proteção legal, informações a respeito do tratamento dos dados pessoais confiados a fornecedores de produtos ou serviços (terceiros ou contratados), firmados por meio de contratos entre o Tribunal (Contratante) e a respectiva Contratada.
Art. 15. Os fornecedores de produtos ou serviços, ao tratarem os dados pessoais a eles confiados pelo TRT9, este no papel de Contratante, serão considerados OPERADORES e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão os seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais definidas pela Contratante;
II - apresentar evidências e garantias suficientes de que aplica medidas técnicas e administrativas adequadas de segurança para a proteção dos dados pessoais, nos termos definidos na legislação, em normas administrativas da Contratante e nos instrumentos contratuais;
III - manter os registros de tratamento de dados pessoais que realizar com condições de rastreabilidade e de fornecer prova eletrônica a qualquer tempo;
IV - seguir fielmente as diretrizes e instruções transmitidas pela Contratante;
V - facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo a prova do compromisso estar disponível em caráter permanente para exibição à Contratante, mediante solicitação;
VI - permitir a realização de auditorias, incluindo inspeções pela Contratante ou por auditor autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pela Contratante, de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII - comunicar formalmente e de imediato ao Encarregado a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções; e
IX - descartar de forma irrecuperável, ou devolver para a Contratante, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual, mediante manifestação formal das providências adotadas, incluindo a data da operação.
§1º É vedado ao Operador adicionar qualquer outra finalidade aos dados pessoais, devendo realizar o tratamento exclusivamente para alcançar o objetivo estabelecido pelo TRT9.
§2º Os contratos e instrumentos congêneres vigentes, que envolvam tratamento de dados pessoais, deverão ser revistos para inclusão de cláusulas específicas para observância da LGPD.
CAPÍTULO VI
DOS SÍTIOS ELETRÔNICOS
Art. 16. Durante o acesso às páginas dos sítios eletrônicos mantidos pelo TRT9 na internet poderão ser utilizados cookies para registro de informações no próprio programa de navegação do usuário, as quais são necessárias para aprimoramento ou facilitação dessa atividade, por exemplo, na transição entre páginas ou escolhas realizadas em formulário. Parágrafo único. A utilização de cookies descrita no caput não implica retenção ou tratamento de dados pessoais por parte do TRT9.
Art. 17. Quando determinado sistema computacional acessível por intermédio de sítio eletrônico do TRT9 exigir a coleta de dados pessoais para tratamento, tal condição constará expressamente do respectivo endereço eletrônico, permitindo ao titular do dado pessoal consentir ou não com essa operação quando não presentes as hipóteses do Art. 7º, III da LGPD.
Parágrafo único. A regra descrita no caput será considerada em especial para o registro de acesso aos sistemas ou manifestações de vontade que necessitam da identificação do usuário em face das atividades que dele forem exigidas.
CAPÍTULO VII
DA GOVERNANÇA, DA SEGURANÇA E DAS BOAS PRÁTICAS
Art. 18. Para conformar os processos e os procedimentos do TRT9 à Lei Geral de Proteção de Dados Pessoais, além das diretrizes já estabelecidas nesta Política, na Lei e nas Resoluções e normas dela decorrentes, o Tribunal deve adotar boas práticas de governança e de segurança da informação voltadas a orientar comportamentos adequados e a mitigar os riscos de comprometimento de dados pessoais, tais como acessos não autorizados, situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Art. 19. O Tribunal deverá instituir Programa de Governança em Privacidade, nos termos do Art. 50 da LGPD.
Art. 20. Proposições de natureza normativa ou informativos complementares a esta Política e emanadas do Comitê Gestor de Proteção de Dados Pessoais serão produzidas no formato de Nota Técnica, e serão submetidas à apreciação e aprovação da Presidência, na condição de representante do Controlador.
Art. 21. Deverá ser elaborado anualmente um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e respectivos Planos de Ação, por meio do processo institucional de gestão de riscos.
Parágrafo único. O relatório de impacto de dados pessoais deverá ser atualizado sempre que um serviço for disponibilizado ou alterado.
Art. 22. O TRT9 deverá adotar o conceito da proteção dos dados pessoais durante todo o processo de desenvolvimento de soluções computacionais e gerenciamento de dados, incluindo a incorporação de tarefas relacionadas ao tratamento, exposição e uso de dados pelos sistemas (Privacy by Design).
Art. 23. É vedado o armazenamento de dados pessoais fora dos repositórios oficiais, de acordo com os registros de tratamento de dados pessoais.
Art. 24. O Encarregado e o Comitê Gestor de Proteção de Dados Pessoais deverão manter a Presidência do TRT9 informada a respeito do andamento das iniciativas do Programa, bem como dos aspectos e fatos significativos e de interesse.
Art. 25. Magistrados e Servidores ou quaisquer outros que tratem dados pessoais em nome do TRT9 deverão ter ciência desta política, da importância da conformidade, das regras estabelecidas e das práticas adotadas, reduzindo as chances de que alguém faça involuntariamente algo que resulte em uma violação da privacidade dos dados pessoais.
Parágrafo único. A inobservância da presente Política de Proteção de Dados Pessoais acarretará a apuração da responsabilidade penal, civil e administrativa previstas nas normas internas do TRT9, e na legislação em vigor.
CAPÍTULO VIII
DA FISCALIZAÇÃO
Art. 26. O Comitê Gestor de Proteção de Dados Pessoais deverá propor à Presidência os procedimentos e mecanismos de fiscalização do cumprimento desta Política.
Art. 27. O TRT9 cooperará com fiscalizações promovidas por terceiros legitimamente interessados, desde que sejam observadas as seguintes condições:
I - sejam informadas em tempo hábil;
II - tenham motivação objetiva e razoável;
III - não afetem a proteção de dados pessoais não abrangidos pelo propósito da fiscalização; e
IV - não causem impacto, dano ou interrupção nos equipamentos, pessoal ou atividades do TRT9.
CAPÍTULO IX
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 28. Esta Política deve ser revista em intervalos não superiores a 24 (vinte e quatro) meses, a partir da data de sua publicação, ou em caso de ocorrência de fatos relevantes, tais como alterações na legislação aplicável ou mudanças significativas nas tecnologias utilizadas no tratamento de dados pessoais.
Art. 29. Com acompanhamento do Comitê Gestor de Proteção de Dados Pessoais, fica estabelecido o prazo de 90 (noventa) dias para as unidades competentes implementarem as ações decorrentes desta política.
Art. 30. Os casos omissos serão resolvidos pela Presidência do Tribunal, ouvido, no que couber, o Comitê Gestor de Proteção de Dados Pessoais.
Art. 31. Este ato entra em vigor na data de sua publicação.
Publique-se.
Desembargador
SERGIO MURILO RODRIGUES LEMOS
Presidente do TRT da 9ª Região
