PORTARIA Nº 9918/2020
Institui a Política de Privacidade e Proteção de Dados Pessoais no Poder Judiciário do Estado de São Paulo.
O Desembargador GERALDO FRANCISCO PINHEIRO FRANCO, Presidente do Tribunal de Justiça do Estado de São Paulo, no uso de suas atribuições legais e considerando o disposto na Lei 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados; na Recomendação CNJ 73, de 20 de agosto de 2020; na Lei 12.965, de 23 de abril de 2014 – Marco Civil da Internet; no Decreto 8.771, de 11 de maio de 2016; na Lei 12.527, de 18 de novembro de 2011 – Lei de Acesso à Informação; na Resolução CNJ 121, de 05 de maio de 2010 e na Resolução CNJ 215, de 16 de dezembro de 2015,
RESOLVE:
Art. 1º. Instituir no âmbito do Tribunal de Justiça de São Paulo a Política de Privacidade e Proteção de Dados Pessoais – PPPDP do Poder Judiciário do Estado de São Paulo.
Seção I
Introdução
§1º. A presente Política de Privacidade e Proteção de Dados Pessoais materializa o desiderato do Tribunal de Justiça de São Paulo de prestigiar o respeito à proteção de dados pessoais, em consonância com a legislação específica respectiva (Lei n. 13.709 de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais, “LGPD”) e com a legislação correlata, especialmente a Lei n. 12.965 de 23 de abril de 2014 (“Lei do Marco Civil da Internet”) e a Lei n. 12.527, 28 de novembro de 2011 (“Lei de Acesso à Informação”).
§2º. Por igual, esta Política visa a alinhar o Tribunal de Justiça de São Paulo com norteadores providos pelo Conselho Nacional de Justiça com o propósito de integração da disciplina do assunto no âmbito do sistema judiciário.
§3º. Esta Política será administrada pelo Comitê Gestor de Privacidade e Proteção de Dados Pessoais – CGPPDP, instituído pela Portaria TJSP nº 9912/2020, de 08 de setembro de 2020.
Seção II
Do Escopo
Art.2º. Esta Política regula a proteção de dados pessoais nas atividades jurisdicionais do Tribunal de Justiça de São Paulo e nas suas atividades administrativas. Suas disposições regulam o relacionamento do Tribunal de Justiça de São Paulo com os usuários de seus serviços e com os magistrados, servidores, fornecedores e quaisquer terceiros.
§1º. As disposições desta Política se referem a dados pessoais contidos em qualquer suporte físico, seja eletrônico ou não.
§2º. Os dados pessoais coletados e tratados no sítio eletrônico do Tribunal de Justiça de São Paulo são objeto de variante específica desta PPPDP, subordinada a esta última.
Seção III
Do objetivo
Art. 3º. O objetivo desta Política é de definir e divulgar as regras de tratamento de dados pessoais pelo Tribunal de Justiça de São Paulo, em consonância com a legislação aplicável e com os regulamentos e orientações do Conselho Nacional de Justiça, do Conselho Nacional de Proteção de Dados Pessoais e de demais autoridades competentes. Esta Política provê diretrizes para a atuação do Comitê Gestor de Privacidade e Proteção de Dados Pessoais – CGPPDP, instituído pela Portaria TJSP nº 9912, de 08 de setembro de 2020 e do órgão Encarregado do Tribunal de Justiça de São Paulo.
Seção IV
Das Referências Legais e Normativas
Art. 4º O tratamento de dados pessoais pelo Tribunal de Justiça de São Paulo é regido pela Lei Federal nº 13.709, de 14.08.18 (Lei Geral de Proteção de Dados Pessoais, “LGPD”) e pela legislação pertinente (inclusive as leis regedoras do habeas data, da liberdade de acesso à informação, e dos direitos de privacidade e de intimidade), assim como por normas técnicas geralmente aceitas (como a NBR ABNT ISO/IEC 29100), por política públicas (por exemplo, as de dados abertos e de inclusão digital) e por boas práticas de governança de dados (como aquelas preconizadas no Guia de Boas Práticas para Implementação na Administração Pública Federal, editado em sintonia com o Decreto federal n. 10.046/2019) e de segurança da informação.
Seção V
Dos Termos e Definições
Art. 5º. Os termos, expressões e definições utilizados nesta Política serão aqueles conceituados na LGPD, em legislação substituta ou no documento TJSPPSI-03.01 – Termos e definições.
Seção VI
Dos Princípios
Art. 6º. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da LGPD, a saber: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Seção VII
Do Tratamento de Dados Pessoais
Art. 7º. O tratamento de dados pessoais pelo Tribunal de Justiça de São Paulo é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Parágrafo único. O Regimento Interno do Tribunal de Justiça de São Paulo e demais normas de organização judiciária definem as funções e atividades que constituem as finalidades e balizadores do tratamento de dados pessoais para fins desta Política.
Art. 8º. Em atendimento a suas competências legais, o Tribunal de Justiça de São Paulo poderá, no estrito limite de suas atividades jurisdicionais, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares. Eventuais atividades que transcendam o escopo da função jurisdicional estarão sujeitas à obtenção de consentimento dos interessados.
Art. 9º. O Tribunal de Justiça de São Paulo mantém contratos com terceiros para o fornecimento de produtos ou a prestação de serviços necessários a suas operações, os quais poderão, conforme o caso, importar em disciplina própria de proteção de dados pessoais, a qual deverá estar disponível e ser consultada pelos interessados.
Art. 10 Os dados pessoais tratados pelo Tribunal de Justiça de São Paulo são:
I. Protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
II. Mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou face a solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de prazos de retenção de dados;
III. Compartilhados somente para o exercício das funções judiciárias ou para atendimento de políticas públicas aplicáveis; e
IV. Revistos em periodicidade mínima anual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 11. A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade, na forma da lei e de acordo com as regras do regime de tramitação sob segredo de Justiça.
Art. 12. A responsabilidade do Tribunal de Justiça de São Paulo pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e de segurança.
Seção VIII
Dos Direitos do Titular
Art. 13. O Tribunal de Justiça de São Paulo zela para que o Titular do dado pessoal possa usufruir dos direitos assegurados pelos artigos 18 e 19 da LGPD, aos quais a presente Política se reporta, por remissão.
Seção IX
Da Transferência Internacional de Dados
Art. 14. O Tribunal de Justiça de São Paulo está sujeito ao dever de expedir ou atender cartas rogatórias, colaborar para autorização de atividades de cooperação internacional em investigação e persecução oficiais, e observar outros deveres inerentes à atividade jurisdicional que implicam transferências internacionais de dados.
Parágrafo único. Exceto no contexto indicado no “caput”, o Tribunal de Justiça de São Paulo não procederá a transferências internacionais de dados pessoais, inclusive para fins de convênios de cooperação administrativa com outros tribunais, exceto se prévia e formalmente autorizado mediante consentimento inequívoco pelo Titular respectivo ou anonimização do dado pessoal para fins exclusivamente estatísticos.
Seção X
Dos Agentes de Tratamento de Dados Pessoais
Art. 15. O Tribunal de Justiça de São Paulo é o Controlador dos dados pessoais por ele tratados, nos termos das suas competências legal e institucional.
Art. 16. O Tribunal de Justiça de São Paulo pode, a qualquer tempo, requisitar informações acerca dos dados pessoais confiados a seus fornecedores, particularmente no caso de serviços de Tecnologia da Informação e Comunicação (TIC). Os provedores de tais serviços serão considerados Operadores e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:
I. Assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pelo Tribunal de Justiça de São Paulo;
II. Apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação, os instrumentos contratuais e de compromissos;
III. Manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV. Seguir fielmente as diretrizes e instruções transmitidas pelo Tribunal de Justiça de São Paulo;
V. Facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade respectiva e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao Tribunal de Justiça de São Paulo, mediante solicitação;
VI. Permitir a realização de auditorias, incluindo inspeções do Tribunal de Justiça de São Paulo ou de auditor independente autorizado por ele autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII. Auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo Tribunal de Justiça de São Paulo de obrigações perante Titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII. Comunicar formalmente e de imediato ao Tribunal de Justiça de São Paulo a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a Titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX. Descartar de forma irrecuperável, ou devolver para o Tribunal de Justiça de São Paulo, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Art. 17. O Tribunal de Justiça de São Paulo instituiu pela Portaria 9.912/2020 o órgão Encarregado pelo Tratamento de Dados Pessoais do Poder Judiciário do Estado de São Paulo, que atenderá quaisquer contatos, nos termos da lei, no endereço eletrônico encarregado_lgpd@tjsp.jus.br , o qual deverá estar informado no sítio eletrônico e em materiais de divulgação desta Política.
Art. 18. O Encarregado deverá contar com apoio efetivo do Comitê Gestor de Privacidade e Proteção de Dados Pessoais – CGPPDP do Tribunal de Justiça de São Paulo para o adequado desempenho de suas funções.
Art. 19. O Tribunal de Justiça de São Paulo poderá padronizar modelos de comunicação para utilização pelo Encarregado no atendimento de solicitações ou dúvidas de Titulares de dados pessoais, e demais procedimentos organizacionais, visando a assegurar a celeridade necessária para cumprimento de prazos legais de atendimentos.
Seção XI
Da Segurança e Boas Práticas
Art. 20. O Tribunal de Justiça de São Paulo dispõe de uma Política de Segurança da Informação que especifica e determina a adoção de um conjunto de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. Embora o Tribunal de Justiça de São Paulo recorra à organização interna e à assessoria externa que seguem padrões e critérios nacionais e internacionais geralmente aceitos, tal precaução não implica em garantia contra a possibilidade de incidentes de segurança ou de violação da proteção de dados pessoais, haja vista, sobretudo, a contínua diversificação dos riscos cibernéticos.
Art. 21. O Tribunal de Justiça de São Paulo adota boas práticas e governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais.
Parágrafo único. As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas na esfera interna do Tribunal de Justiça de São Paulo e em seu sítio eletrônico, visando a disseminar cultura protetiva, com conscientização e sensibilização dos interessados.
Art. 22. O órgão Encarregado e o Comitê Gestor de Privacidade e Proteção de Dados Pessoais – CGPPDP deverão manter a direção do Tribunal de Justiça de São Paulo a par de aspectos e fatos significativos e de interesse para conhecimento pelas instâncias respectivas.
Art. 23. A Política de Privacidade e Proteção de Dados Pessoais deve ser revista em intervalos planejados não superiores a 12 (doze) meses, a partir da data de sua publicação, ou ante a ocorrência de algumas das seguintes condições:
I. Edição ou alteração de leis e/ou regulamentos relevantes;
II. Alteração de diretrizes estratégicas pelo Tribunal de Justiça de São Paulo;
III. Expiração da data de validade do documento, se aplicável;
IV. Mudanças significativas de tecnologia na organização do Tribunal de Justiça de São Paulo, como por exemplo a definição de armazenamento em data center localizado no exterior;
V. Análises de risco em Relatório de Impacto de Proteção de Dados Pessoais que indique a necessidade de modificação no documento para readequação da organização visando a prevenir ou mitigar riscos relevantes.
Art. 24. O processo de análise para determinar a adequação, suficiência e eficácia dos documentos da Política de Proteção de Dados Pessoais deve ser formalizado com o registro de diagnósticos e sugestões e das aprovações respectivas.
Art. 25. Independentemente da revisão ou atualização desta Política de Privacidade e Proteção de Dados Pessoais, deverá ser elaborado no mínimo anualmente um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e respectivos Planos de Ação.
Seção XII
Da Fiscalização
Art. 26. O Comitê Gestor de Privacidade e Proteção de Dados Pessoais – CGPPDP, deverá definir, ad referendum da direção do Tribunal de Justiça de São Paulo, os procedimentos e mecanismos de fiscalização do cumprimento desta Política.
Art. 27. O Tribunal de Justiça de São Paulo cooperará com fiscalizações promovidas por terceiros legitimamente interessados, devendo ser observadas as seguintes condições:
I. Sejam informadas em tempo hábil;
II. Tenham motivação objetiva e razoável;
III. Não afetem a proteção de dados pessoais não abrangidos pelo propósito da fiscalização;
IV. Não causem impacto, dano ou interrupção nos equipamentos, pessoal ou atividades do Tribunal de Justiça de São Paulo.
Parágrafo único. A inobservância da presente Política de Proteção de Dados Pessoais acarretará a apuração das responsabilidades internas e externas previstas nas normas internas do Tribunal de Justiça de São Paulo e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa.
Seção XIII
Da Proteção De Dados Pessoais De Magistrados e De Servidores
Art. 28. A proteção de dados pessoais de magistrados e de servidores deverá observar as condições determinadas pelo Conselho Nacional de Justiça, pelo Conselho Nacional de Proteção de Dados Pessoais e pela Autoridade Nacional de Proteção de Dados, na forma da legislação e regulamentação vigentes.
Art. 29. Revogam-se as disposições em contrário.
Art. 30. Esta Portaria entra em vigor nesta data.
REGISTRE-SE. PUBLIQUE-SE. CUMPRA-SE.
São Paulo, 22 de setembro de 2020.
(a) GERALDO FRANCISCO PINHEIRO FRANCO, Presidente do Tribunal de Justiça (DJe de 24.09.2020 – NP)
Fonte: DJE/SP
Publicação: Portal do RI (Registro de Imóveis) | O Portal das informações notariais, registrais e imobiliárias
Para acompanhar as notícias do Portal do RI, siga-nos no twitter, curta a nossa página no facebook e/ou assine nosso boletim eletrônico (newsletter), diário e gratuito.