Tribunal Regional Eleitoral de Goiás

RESOLUÇÃO N° 358/2021

Institui a Política de Privacidade, Tratamento e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral em Goiás.

O TRIBUNAL REGIONAL ELEITORAL DE GOIÁS, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a plena entrada em vigor da Lei n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD);

CONSIDERANDO a Lei n° 12.965, de 23 de abril de 2014, que estabelece o marco civil da Internet no Brasil (Lei do Marco Civil da Internet);

CONSIDERANDO a Lei n° 12.527, de 18 de novembro de 2011, que regula o acesso à informação (Lei de Acesso à Informação - LAI);

CONSIDERANDO a Resolução CNJ n° 363, de 12 de janeiro de 2021, que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais;

CONSIDERANDO a Resolução TSE n° 23.650, de 9 de setembro de 2021, que institui a Política Geral de Privacidade e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral;

CONSIDERANDO que o direito à informação deve ser garantido de forma harmoniosa com a privacidade, a intimidade, a honra e a imagem dos titulares de dados pessoais cadastrados nos bancos de dados da Justiça Eleitoral, e, ainda, com os direitos fundamentais de liberdade e de livre desenvolvimento da personalidade da pessoa natural; e

CONSIDERANDO a relevância da proteção à autonomia informativa dos cidadãos para o exercício da democracia;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1° Instituir a Política de Privacidade, Tratamento e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral em Goiás.

Art. 2° Esta Política estabelece conceitos, princípios, diretrizes e procedimentos que visam nortear o tratamento de dados pessoais na Justiça Eleitoral em Goiás, a fim de garantir a proteção da privacidade de seus titulares, e institui o compromisso com a segurança das informações dos usuários cadastrados e visitantes, bem como indica os responsáveis por essas ações.

Parágrafo único. Esta Resolução disciplina qualquer operação de tratamento de dados pessoais realizada pela Justiça Eleitoral, independentemente de o meio ser físico ou eletrônico, ou do país onde estejam armazenados os dados.

Art. 3° Os magistrados, servidores, colaboradores internos e externos e quaisquer outras pessoas que realizam tratamento de dados pessoais em nome da Justiça Eleitoral em Goiás se sujeitam às diretrizes, às normas e aos procedimentos previstos nesta Resolução e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.

Parágrafo único. Inclui-se na condição de colaborador o estagiário, o terceirizado e todo aquele que preste serviço ou desenvolva, na Justiça Eleitoral em Goiás, qualquer atividade de natureza permanente, temporária ou excepcional, mesmo que sem retribuição financeira direta ou indiretamente por parte desta Justiça Especializada.

Art. 4° Para os fins de compreensão da aplicação das normas de proteção de dados pessoais na Justiça Eleitoral em Goiás, consideram-se:

I - Controlador: o Tribunal Superior Eleitoral, nas matérias que lhes sejam afetas, e o Tribunal Regional Eleitoral de Goiás, a quem competem as decisões referentes ao tratamento de dados pessoais;

II - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

III - Encarregado: unidade indicada pelo Tribunal para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IV - Controlador conjunto: o Tribunal que, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais, em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

§ 1° O Juízo Eleitoral, embora tenha atribuições e competência para decidir a respeito do tratamento de dados pessoais, nas hipóteses assim definidas em leis e resoluções, não se equipara à figura do Controlador.

§ 2° O Tribunal, quando realiza o tratamento de dado pessoal em nome do Tribunal Controlador, atua na função de operador.

§ 3° Não se consideram controladores conjuntos, mas apenas controladores, aqueles que, apesar de decidirem a respeito do mesmo conjunto de dados pessoais, o fazem para finalidades diversas.

Seção I

Dos Princípios

Art. 5° O tratamento de dados pessoais pela Justiça Eleitoral em Goiás é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais, e deverá ser pautado pelo dever de boa-fé e pela observância dos princípios previstos no art. 6° da LGPD.

Seção II

Das Diretrizes

Art. 6° Para a conformidade dos processos e procedimentos à LGPD, deverão ser consideradas as seguintes diretrizes:

I - levantamento dos dados pessoais tratados no Tribunal;

II - mapeamento dos fluxos de tratamento de dados pessoais no Tribunal;

III - verificação da conformidade do tratamento com o previsto na LGPD;

IV - definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no Tribunal;

V - revisão e atualização da política e dos programas de segurança da informação;

VI - padronização do modo de tratamento de dados pessoais, com a adoção de anonimização ou pseudonimização, em observância ao mínimo necessário e a fim de evitar a exposição indevida de dados pessoais que não precisam ser publicizados;

VII - revisão e adequação à LGPD dos contratos, acordos de cooperação técnica, convênios ou atos similares firmados no âmbito do Tribunal;

VIII - revisão e adequação à LGPD dos processos e procedimentos relacionados à área de saúde;

IX - definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na área administrativa do Tribunal;

X - definição de procedimentos que garantam os princípios da segurança da informação dos dados pessoais em todo o seu fluxo de tratamento e durante todo o seu ciclo de vida;

XI - elaboração ou adequação das políticas de privacidade e termos uso;

XII - adequação dos normativos, formulários, sistemas e aplicativos informatizados à legislação de referência;

XIII - adequação do sítio eletrônico do Tribunal, para que disponibilize as informações exigidas na LGPD;

XIV - capacitação de magistrados, servidores e colaboradores, bem como conscientização do público interno e externo, acerca desta Política, das boas práticas e da governança dela decorrentes;

XV - promoção dos registros de tratamento de dados pessoais, nos termos da LGPD, para que sejam informados ao titular quando solicitado.

Parágrafo único. Os sistemas informatizados comuns à Justiça Eleitoral em Goiás, desenvolvidos pelo Tribunal Superior Eleitoral, serão por esse adequados aos princípios e regras previstos na LGPD, assim como os seus normativos aplicáveis a toda a Justiça Eleitoral.

Art. 7° Compete ao Tribunal Regional Eleitoral de Goiás, na condição de Controlador:

I - fornecer as instruções para a governança em privacidade, dentre as quais:

a) o modo como serão tratados os dados pessoais no Tribunal, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados;

c) o emprego de metodologias de segurança da informação e proteção de dados pessoais.

II - promover a capacitação dos servidores, magistrados e colaboradores que realizem tratamento de dados;

III - verificar a observância das instruções e das normas sobre a matéria no âmbito do Tribunal;

IV - comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados pessoais, em até 3 (três) dias úteis após a ciência do evento adverso e, havendo risco relevante, a ocorrência de incidente de segurança, nos termos da LGPD;

V - incentivar a disseminação da cultura da privacidade de dados pessoais no Tribunal;

VI - determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.

Parágrafo único. A ANPD, no âmbito de suas atribuições, poderá fixar prazos específicos para o tratamento de eventos adversos que impliquem em risco relevante para a segurança dos dados.

Art. 8° O Controlador poderá determinar ao Comitê Gestor de Proteção de Dados Pessoais (CGPD) a implementação de programa de governança em privacidade que, no mínimo:

I - demonstre o comprometimento do Tribunal em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

II - seja aplicável a todo o conjunto de dados pessoais que estejam sob controle do Tribunal, independentemente do modo como se realizou sua coleta;

III - seja adaptado à estrutura, à escala e ao volume de operações, bem como à sensibilidade dos dados tratados no Tribunal;

IV - estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

V - tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente, assegurando a sua participação nos processos que envolvam os seus dados pessoais;

VI - esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

VII - conte com planos de resposta a incidentes e remediação;

VIII - seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Parágrafo único. As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente, e poderão ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados.

Art. 9° Compete às unidades de tratamento:

I - documentar as operações que lhes cabem realizar durante o processo de tratamento de dados pessoais;

II - proteger a privacidade dos dados pessoais desde o seu ingresso no Tribunal;

III - descrever os tipos de dados coletados;

IV - cumprir a metodologia de coleta dos dados pessoais definida pelo Tribunal;

V - exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Art. 10. O Controlador e os operadores respondem solidariamente por todo tratamento inadequado dos dados pessoais dos quais resulte, dentre outros, prejuízo ao titular e comprometimento da confiabilidade do Tribunal Regional Eleitoral de Goiás.

Art. 11. Nos termos do art. 37 da LGPD, o Controlador e os operadores devem manter registro das operações de tratamento de dados pessoais que realizarem, em documento próprio, denominado Registro de Tratamento de Dados Pessoais (RTDP), que deverá conter:

I - a finalidade do tratamento;

II - a base legal;

III - a descrição dos titulares;

IV - a natureza dos dados;

V - as categorias de destinatários;

VI - eventual transferência internacional;

VII - o prazo de conservação e as medidas de segurança adotadas.

Seção III

Do Encarregado pelos Dados Pessoais

Art. 12. No âmbito deste Tribunal, a Ouvidoria Regional Eleitoral constitui Unidade Encarregada pela Proteção de Dados, com as seguintes atribuições:

I - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;

III - cientificar a Presidência a respeito de situações fáticas, procedimentais ou normativas que impactem no tratamento de dados pessoais;

IV - orientar as partes envolvidas no tratamento de dados pessoais a respeito das práticas a serem tomadas em relação à sua proteção;

V - apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais;

VI - encaminhar, quando houver necessidade de providências do CGPD, demandas, proposições e orientações a seu exame; e

VII - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 1° A administração promoverá os meios necessários para que as atividades exercidas pelo Encarregado sejam resguardadas tecnicamente por aparato profissional que congregue conhecimentos especializados e domínio do direito e das práticas de proteção de dados.

§ 2° O representante do Encarregado deverá ter acesso direto à alta administração do Tribunal, para o adequado desempenho de suas funções.

Seção IV

Do Tratamento de Dados Pessoais

Art. 13. O tratamento de dados pessoais deverá observar as normas expressas na Política de Segurança da Informação (PSI) da Justiça Eleitoral e deste Tribunal, as normas editadas pelo Tribunal Superior Eleitoral sobre a matéria e o disposto nesta Resolução.

Art. 14. O Tribunal Regional Eleitoral de Goiás deverá manter, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu Portal de Internet, informações sobre o tratamento e a privacidade de dados pessoais, conforme determinado no art. 23, inciso I, da LGPD, e também:

I - as hipóteses em que a instituição realiza o tratamento de dados pessoais, contendo a previsão legal, a finalidade específica, a forma e duração do tratamento, os procedimentos e as práticas utilizadas para a execução desses tratamentos, bem como as informações acerca do uso compartilhado de dados pelo controlador e a respectiva finalidade;

II - a identificação do Controlador, da Unidade Encarregada e do seu titular, bem como dos seus respectivos meios de contato;

III - as responsabilidades dos agentes envolvidos no tratamento e os direitos do titular com menção expressa ao art. 18 da LGPD;

IV - aviso de coleta de dados pessoais em navegação pela Internet (inclusive por meio de cookies), política de privacidade para navegação na página da instituição e política geral de privacidade e proteção de dados pessoais; e

V - a disponibilização de formulário para o exercício do direito de solicitação de informações pessoais ou de reclamações pelo titular dos dados pessoais, bem como de orientações quanto ao procedimento para o seu encaminhamento.

Parágrafo único. As informações solicitadas pelo titular dos dados deverão ser prestadas no prazo de até 20 (vinte) dias, contados da data do protocolo do requerimento, prorrogável, justificadamente, por mais 10 (dez) dias.

Art. 15. Em atendimento às suas atribuições, o Tribunal poderá, no estrito limite de suas atividades, tratar dados pessoais sem o consentimento dos titulares, desde que observados os princípios estabelecidos pelo art. 6° da LGPD e respaldada a sua atuação nas hipóteses elencadas no art. 7°, incisos II a X, art. 10, incisos I e II, art. 11, inciso II, art. 23, caput, e arts. 26 e 27, todos da LGPD.

§ 1° Eventuais tratamentos que não estejam contemplados nas hipóteses previstas no caput estarão sujeitos à obtenção de consentimento dos interessados.

§ 2° consentimento para tratamento de dados pessoais de criança deverá ser dado de forma específica e em destaque por ao menos um dos pais ou pelo responsável legal.

Art. 16. Nos casos em que o consentimento é requerido, esse deverá ser expresso pelo titular do dado pessoal, de forma clara e inequívoca.

§ 1° Se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o Tribunal deverá informar previamente o titular, podendo o titular revogar o consentimento, caso discorde das alterações.

§ 2° Quando o tratamento de dados pessoais for condição para o fornecimento de serviço ou para o exercício de direito, o titular poderá solicitar informações sobre os meios pelos quais poderá exercer os seus direitos elencados no art. 18 da LGPD.

Art. 17. Os contratos, convênios e instrumentos congêneres mantidos pelo Tribunal deverão ser disponibilizados para consulta pelos interessados, nos termos da Lei de Acesso à Informação, observada a proteção dos dados pessoais que não sejam essenciais ao cumprimento da referida lei e ao interesse público, de acordo com a LGPD, de modo a se evitar a exposição indevida de dados pessoais que não precisem ser publicizados.

Art. 18. Os dados pessoais tratados pelo Tribunal devem ser:

I - mantidos disponíveis, íntegros e confidenciais nos termos da Política de Segurança da Informação;

II - tratados somente quando diante de hipótese legal autorizativa;

III - eliminados, quando cabível, aqueles que já não forem necessários por terem cumprido sua finalidade ou por ter sido encerrado o seu prazo de retenção, nos termos da tabela de temporalidade, conforme classificação, avaliação e destinação das informações e documentos.

Seção V

Da Estrutura da Gestão de Dados Pessoais

Art. 19. A estrutura administrativa interna do Tribunal para o atendimento das diretrizes estabelecidas na presente Resolução e para o tratamento de dados pessoais, compreende o Encarregado, o Comitê Gestor de Proteção de Dados Pessoais (CGPD), bem como as unidades incumbidas de efetivar tratamentos de dados pessoais e aquelas incumbidas da segurança da informação.

Art. 20. Deverão ser identificadas as unidades administrativas da Justiça Eleitoral em Goiás que, pela natureza de suas funções, efetivem o tratamento de dados pessoais.

§ 1° Às unidades mencionadas no caput incumbe:

I - providenciar registro das operações de tratamento de dados pessoais que efetivarem (art. 37 da LGPD);

II - efetivar o tratamento em consonância com as normas sobre a matéria e segundo as instruções fornecidas por este Tribunal e pelo Tribunal Superior Eleitoral;

III - prestar as informações necessárias ao desenvolvimento dos trabalhos do CGPD e ao desempenho das atribuições do Encarregado;

IV - informar à área competente da Secretaria de Tecnologia da Informação (STI), na forma e nos termos da Política de Segurança da Informação e da LGPD, acerca de incidentes de segurança que representem risco ou dano relevante aos titulares de dados pessoais de que tomem conhecimento;

V - informar, diretamente ao Encarregado, violações a esta Política que não estejam abrangidas pela hipótese do inciso IV deste artigo.

§ 2° Para cumprimento do disposto no inciso I do § 1° deste artigo, o Tribunal deverá munir as unidades mencionadas no de instrumentos normativos e operacionais caput que possibilitem a identificação da realização de tratamento em registros dos titulares dos dados.

§ 3° Apenas usuários credenciados poderão realizar tratamento de dados, o que será feito de acordo com nível de acesso estipulado pelo Tribunal.

§ 4° Na hipótese do inciso IV deste artigo, verificado que o incidente representa risco ou dano relevante aos titulares de dados pessoais, a STI deverá comunicar o fato ao Encarregado.

Art. 21. O Comitê Gestor de Proteção de Dados Pessoais (CGPD) terá caráter multidisciplinar e será composto, no mínimo, por representantes da Presidência, da Diretoria-Geral, do Gestor de Segurança da Informação, da Vice-Presidência e Corregedoria Regional Eleitoral e por representantes dos Cartórios Eleitorais.

§ 1° Os representantes indicados pelas unidades citadas no caput deste artigo devem ser preferencialmente servidores da Justiça Eleitoral ou servidores públicos cedidos à Justiça Eleitoral.

§ 2° O Comitê Gestor de Proteção de Dados Pessoais (CGPD) deliberará por maioria.

§ 3° Havendo conflito de interesses entre a unidade de origem de qualquer membro do CGPD e a deliberação a ser tomada, tal membro não participará da respectiva deliberação.

Art. 22. Ao Comitê Gestor de Proteção de Dados Pessoais (CGPD) incumbe:

I - elaborar propostas de regulamentação da LGPD;

II - sugerir providências a serem adotadas com vista à implementação da LGPD;

III - monitorar e avaliar o cumprimento da LGPD;

IV - propor diretrizes para o aprimoramento contínuo de proteção a dados pessoais no âmbito da Justiça Eleitoral em Goiás, inclusive nas áreas de planejamento, de governança, de administração de processos e procedimentos, de elaboração de normas, de rotinas operacionais, de práticas organizacionais, de desenvolvimento e gestão de sistemas de informação e de relações com a imprensa;

V - atuar colaborativamente, quanto à proteção de dados pessoais, junto às unidades responsáveis pela capacitação e pela conscientização.

CAPÍTULO II

DISPOSIÇÕES GERAIS

Art. 23. A Justiça Eleitoral em Goiás deverá manter atualizada a política de proteção de dados, considerando a evolução tecnológica, as alterações da legislação específica e os Relatórios de Impacto à Proteção de Dados Pessoais (RIPD).

§ 1° A Presidência do Tribunal, por regulamento próprio, ficará responsável pela atualização da política de proteção de dados, mediante proposta do Comitê Gestor de Proteção de Dados Pessoais, podendo normatizar procedimentos operacionais com vistas a conferir efetividade à presente norma.

§ 2° As boas práticas adotadas para a proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas, visando a disseminar a cultura protetiva, com conscientização e sensibilização dos interessados.

Art. 24. Relatório de Impacto à Proteção de Dados Pessoais (RIPD), identificando vulnerabilidades e respectivos Planos de Ação, deverá ser elaborado na periodicidade ou na circunstância prevista no inciso II do art. 15 da Resolução TSE n° 23.650/2021 e sempre que solicitado pelo Controlador, pelo Comitê Gestor de Proteção de Dados Pessoais (CGPD) ou pela Autoridade Nacional de Proteção de Dados, e antes do tratamento de dados pessoais, preferencialmente na fase inicial do programa ou projeto que tenha o propósito de usar esses dados.

§ 1° O Controlador designará a unidade responsável pela elaboração do modelo de RIPD para utilização pelas unidades que realizam tratamento de dados, o qual deverá conter as exigências da LGPD e obedecer aos padrões mínimos estabelecidos pelo Comitê Gestor de Proteção de Dados Pessoais do Tribunal Superior Eleitoral, nos termos da Resolução TSE n° 23.650/2021.

§ 2° Cada unidade responsável pelo tratamento de dados pessoais será incumbida da elaboração do RIPD de sua área de atuação.

Art. 25. Situações fáticas, procedimentais ou normativas que impactem no tratamento de dados pessoais, ainda que não previstas expressamente nesta Política, deverão observar os princípios e diretrizes aplicáveis para o tratamento de dados pessoais.

Art. 26. O Tribunal deverá abordar as questões que permeiam a proteção de dados pessoais em seus planos estratégicos, bem como nos documentos e nas práticas deles decorrentes.

Art. 27. As informações protegidas por sigilo continuam resguardadas pelos atos normativos a elas relacionados.

Art. 28. A Política de Privacidade, Tratamento e Proteção de Dados Pessoais e a Política de Segurança da Informação da Justiça Eleitoral em Goiás são complementares, de devendo ser interpretadas em conjunto.

Art. 29. O Tribunal Regional Eleitoral de Goiás terá até o dia 31 de dezembro de 2021 para adaptar seus atos normativos às regras previstas na LGPD e nesta Resolução.

Art. 30. Os casos omissos serão dirimidos pelo Controlador em conjunto com a Presidência deste Tribunal.

Sala das Sessões do Tribunal Regional Eleitoral de Goiás, em Goiânia, aos 15 dias do mês de dezembro de 2021.

Desembargador LEANDRO CRISPIM

Presidente

Este texto não substitui o publicado no DJE n° 1, de 10.01.2022, páginas 112 a 119.