Ementa
Estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais.
O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais,
CONSIDERANDO que é missão do CNJ desenvolver políticas judiciárias que promovam a efetividade e a unidade ao Poder Judiciário, para os valores de justiça e de paz social;
CONSIDERANDO a entrada em vigor da Lei no 13.709/2018 –Lei Geral de Proteção de dados Pessoais (LGPD), bem como a crescente utilização da Internet e de modelos digitais estruturados para acesso e processamento de dados disponibilizados pelos órgãos do Poder Judiciário;
CONSIDERANDO a criação, por intermédio da Portaria CNJ no 212/2020, do Grupo de Trabalho destinado à elaboração de estudos e propostas voltadas à adequação dos tribunais à Lei no 13.709/2018 (LGPD);
CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos titulares nos atos processuais e administrativos;
CONSIDERANDO a necessidade de padronização de critérios mínimos para os programas de implementação prática da Lei no 13.709/2018 (LGPD) em todos os tribunais do país;
CONSIDERANDO os termos já constantes na Recomendação CNJ no 73/2020, que recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na (LGPD);
CONSIDERANDO a decisão plenária tomada no julgamento do Ato Normativo no0010276-22.2020.2.00.0000, na 323ª Sessão Ordinária, realizada em 15 de dezembro de 2020;
RESOLVE:
Art. 1o Estabelecer medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) a serem adotadas pelos tribunais do país (primeira e segunda instâncias e Cortes Superiores), à exceção do Supremo Tribunal Federal, para facilitar o processo de implementação no âmbito do sistema judicial, consistentes em:
I – criar o Comitê Gestor de Proteção de Dados Pessoais (CGPD), que será o responsável pelo processo de implementação da Lei no 13.709/2018 em cada tribunal, com as seguintes características:
a) a composição do referido Comitê deverá ter caráter multidisciplinar e ter em vista o porte de cada tribunal;
b) caberá a cada tribunal a decisão de promover a capacitação dos membros do CGPD sobre a LGPD e normas afins, o que poderá ser viabilizado pelas academias ou escolas judiciais das respectivas Cortes de Justiça;
II – designar o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD;
III – formar Grupo de Trabalho Técnico de caráter multidisciplinar para auxiliar nas funções junto ao encarregado pelo GT, composto, entre outros, por servidores da área de tecnologia, segurança da informação e jurídica;
IV – elaborar, por meio de canal do próprio encarregado, ou em parceria com as respectivas ouvidorias dos tribunais:
a) formulário eletrônico ou sistema para atendimento das requisições e/oureclamações apresentadas por parte dos titulares dos dados pessoais;
b) fluxo para atendimento aos direitos dos titulares (art. 18, 19 e 20 da LGPD), requisições e/ou reclamações apresentadas, desde o seu ingresso até o fornecimento da respectiva resposta;
V – criar um site com informações sobre a aplicação da LGPD aos tribunais, incluindo:
a) os requisitos para o tratamento legítimo de dados;
b) as obrigações dos controladores e os direitos dos titulares nos termos do art. 1o, II, “a” da Recomendação do CNJ no 73/2020;
c) as informações sobre o encarregado (nome, endereço e e-mail para contato), referidas no art. 41, § 1o, da LGPD;
VI – disponibilizar informação adequada sobre o tratamento de dados pessoais, nos termos do art. 9o da LGPD, por meio de:
a) avisos de cookies no portal institucional de cada tribunal;
b) política de privacidade para navegação na página da instituição;
c) política geral de privacidade e proteção de dados pessoais a ser aplicada internamente no âmbito de cada tribunal e supervisionada pelo CGPD;
VII – zelar para que as ações relacionadas à LGPD sejam cadastradas com os assuntos pertinentes da tabela processual unificada;
VIII – determinar aos serviços extrajudiciais que, sob a supervisão da respetiva Corregedoria-Geral da Justiça, analisem a adequação à LGPD no âmbito de suas atribuições;
IX – organizar programa de conscientização sobre a LGPD, destinado a magistrados, a servidores, a trabalhadores terceirizados, a estagiários e residentes judiciais, das áreas administrativas e judiciais de primeira e segunda instâncias e Cortes Superiores, à exceção do Supremo Tribunal Federal;
X – revisar os modelos de minutas de contratos e convênios com terceiros já existentes, que autorizem o compartilhamento de dados, bem como elaborar orientações para as contratações futuras, em conformidade com a LGPD, considerando os seguintes critérios:
a) para uma determinada operação de tratamento de dados pessoais deve haver:
1. uma respectiva finalidade específica;
2. em consonância ao interesse público; e
3. com lastro em regra de competência administrativa aplicável à situação concreta;
b) o tratamento de dados pessoais previsto no respectivo ato deve ser:
1. compatível com a finalidade especificada; e
2. necessário para a sua realização;
c) inclusão de cláusulas de eliminação de dados pessoais nos contratos, convênios e instrumentos congêneres, à luz dos parâmetros da finalidade e da necessidade acima indicados;
d) realizar relatório de impacto de proteção de dados previamente ao contrato ou convênio, com observância do princípio da transparência;
XI – implementar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e seguintes da LGPD, por meio:
a) da elaboração de política de segurança da informação que contenha plano de resposta a incidentes (art. 48 da LGPD), bem como a previsão de adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços (art. 46, § 1o);
b) da avaliação dos sistemas e dos bancos de dados, em que houver tratamento de dados pessoais, submetendo tais resultados à apreciação do CGPD para as devidas deliberações;
c) da avaliação da segurança de integrações de sistemas;
d) da análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros;
XII – elaborar e manter os registros de tratamentos de dados pessoais contendo informações sobre:
a) finalidade do tratamento;
b) base legal;
c) descrição dos titulares;
d) categorias de dados;
e) categorias de destinatários;
f) eventual transferência internacional; e
g) prazo de conservação e medidas de segurança adotadas, nos termos do art. 37 da LGPD;
XIII – informar o CGPD sobre os projetos de automação e inteligência artificial.
Art. 2o Para o cumprimento do disposto nesta Resolução, recomenda-se que o processo de implementação da LGPD contemple, ao menos, as seguintes ações:
I– realização do mapeamento de todas as atividades de tratamento de dados pessoais por meio de questionário, conforme modelo a ser elaborado pelo CNJ;
II– realização da avaliação das vulnerabilidades (gap assessment) para a análise das lacunas da instituição em relação à proteção de dados pessoais; e
III– elaboração de plano de ação (Roadmap), com a previsão de todas as atividades constantes nesta Resolução.
Art. 3o Esta Resolução entra em vigor na data da sua publicação.
Ministro LUIZ FUX
Nota(s) da Redação INR
Este texto não substitui o publicado no D.J.E-CNJ de 18.01.2021.
O conteúdo deste ato é coincidente com aquele publicado oficialmente. Eventuais alterações posteriores em seu objeto, ou sua revogação, não são consideradas, isto é, este ato permanecerá, na Base de Dados INR, tal qual veio ao mundo jurídico, ainda que, posteriormente, alterado ou revogado.
Fonte: INR Publicações
Publicação: Portal do RI (Registro de Imóveis) | O Portal das informações notariais, registrais e imobiliárias
Para acompanhar as notícias do Portal do RI, siga-nos no twitter, curta a nossa página no facebook e/ou assine nosso boletim eletrônico (newsletter), diário e gratuito.