Pesquisa Única de Athos

Detalhes do documento

Número:

273/2020

Assunto:

1.Regulamentação 2.Órgão Especial 3.Lei Geral de Proteção de Dados 4.Pessoa Física 5.Política de Privacidade 6.Poder Judiciário 7.Estado do Paraná

Data:

2020-11-12 00:00:00.0

Diário:

2858

Situação:

VIGENTE

Ementa:

Dispõe sobre a Política de Privacidade dos Dados das Pessoas Físicas, para fins de cumprimento da Lei nº 13.709/2018 - Lei Geral de Proteção de Dados, no âmbito do Poder Judiciário do Estado do Paraná.

Anexos:

Referências

Documentos do mesmo sentido:

Lei nº 13.709, de 14 de outubro de 2018 - Lei Geral de Proteção de Dados

Abrir

Documento

TRIBUNAL DE JUSTIÇA

RESOLUÇÃO Nº. 273-OE, de 26 de outubro de 2020.

Dispõe sobre a Política de Privacidade dos Dados das Pessoas Físicas, para fins de cumprimento da Lei n.º 13.709/2018 - Lei Geral de Proteção de Dados, no âmbito do Poder Judiciário do Estado do Paraná.

O TRIBUNAL DE JUSTIÇA DO ESTADO DO PARANÁ, por seu Órgão Especial, no uso de suas atribuições legais,
CONSIDERANDO a vigência da Lei n.º 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados;
CONSIDERANDO que os arts. 23 a 30 da Lei n.º 13.709/2018 dispõem sobre o tratamento de dados pessoais pelas pessoas jurídicas de direito público;
CONSIDERANDO o teor da Recomendação n.º 73, de 20 de agosto de 2020, do Conselho Nacional de Justiça, que dispõe sobre a adoção de medidas preparatórias e ações iniciais dos Tribunais para adequação às disposições contidas na Lei Geral de Proteção de Dados (LGPD);
CONSIDERANDO que o art. 1º, inciso II, alínea “a”, da supracitada Recomendação prevê a elaboração, pelos tribunais, da política de privacidade para navegação no sítio eletrônico da instituição em relação à Lei Geral de Proteção de Dados Pessoais;
CONSIDERANDO as diretrizes traçadas por meio do Decreto Judiciário n.º 631/2016, a respeito da Política de Segurança de Tecnologia da Informação (PSTI) do Tribunal de Justiça do Estado do Paraná;
CONSIDERANDO o teor do relatório da Comissão para Estudo e Implementação da Lei Geral de Proteção de Dados contido no SEI n.º 0029904 96.2017.8.16.6000; e
CONSIDERANDO o contido no SEI nº 0054188-03.2019.8.16.6000;

RESOLVE:

CAPÍTULO I
DO OBJETIVO

Art. 1º A presente Resolução institui a Política de Privacidade dos Dados das Pessoas Físicas no âmbito do Tribunal de Justiça do Estado do Paraná.

Parágrafo único. A Política de Privacidade dos Dados das Pessoas Físicas estabelece princípios e regras que devem nortear o tratamento de dados pessoais, físicos e digitais, no Tribunal de Justiça do Paraná, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes para a conformidade do Tribunal às disposições da Lei n.º 13.709/2018.

CAPÍTULO II
DOS CONCEITOS E DAS DEFINIÇÕES

Art. 2º Para efeito desta Resolução, fica estabelecido o significado dos seguintes termos e expressões:
I - Política: definição de determinado objetivo da instituição e dos meios para atingi‑lo;
II - Programa: conjunto de mecanismos e procedimentos administrados de forma integrada, reunidos em documento único, no qual são previstas ações articuladas e dinâmicas para atingir determinado objetivo;
III - Autoridade Nacional de Proteção de Dados (ANPD): órgão vinculado à Presidência da República, ao qual cabe, entre outras atribuições, fiscalizar a aplicação da LGPD nas entidades do Poder Público e aplicar sanções em caso de descumprimento de suas determinações;
IV - Princípio: norteamento para a atuação de magistrados, servidores, estagiários, terceirizados e de todos aqueles que estabeleçam relação com o Tribunal de Justiça;
V - Gestão de Riscos: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial, capazes de comprometer o alcance dos objetivos organizacionais;
VI - Público Interno: magistrados, servidores e colaboradores (estagiários e terceirizados);
VII - Público Externo: usuários dos serviços do Tribunal e aqueles que, de alguma forma, estabeleçam relações com a Instituição;
VIII - Privacidade: esfera íntima ou particular do indivíduo;
IX - Pessoa Física: pessoa natural ou física;
X - Titular: pessoa física a quem se referem os dados pessoais objeto de tratamento;
XI - Dado Pessoal: informação relativa à pessoa física identificada ou identificável;
XII - Tratamento de Dados: qualquer atividade pertencente ao ciclo de vida dos dados pessoais;
XIII - Ciclo de Vida dos Dados Pessoais: todas as etapas de manuseio dos dados, desde o surgimento destes na Instituição até o respectivo descarte ou arquivamento;
XIV - Controlador: pessoa jurídica de direito público a quem compete definir todas as ações relativas ao tratamento de dados pessoais;
XV - Operador: pessoa física que realiza o tratamento em nome do Controlador, em todas as instâncias da Instituição ou no âmbito de contratos ou instrumentos congêneres com ele firmados;
XVI - Agentes de Tratamento: o Controlador e o Operador;
XVII - Encarregado de Tratamento dos Dados Pessoais: pessoa física ou jurídica responsável por, entre outras atribuições, realizar a comunicação entre a Autoridade Nacional de Proteção de Dados e o Controlador, bem como conhecer detalhadamente todo o tratamento de dados pessoais efetivado na Instituição.

CAPÍTULO III
DOS PRINCÍPIOS APLICÁVEIS À ATIVIDADE DE TRATAMENTO DE DADOS PESSOAIS

Art. 3º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO IV
DA ABRANGÊNCIA

Art. 4º A presente Resolução deverá ser cumprida por todos aqueles que têm acesso a dados pessoais disponibilizados ou armazenados pelo Tribunal de Justiça, em meio físico ou digital.

Parágrafo único. Os Serviços Notariais e de Registro e os Cartórios Judiciais do Estado do Paraná, cujos titulares exercem os respectivos serviços por delegação do Poder Público, estão submetidos às disposições desta Resolução.

CAPÍTULO V
DO CONTROLADOR, DOS OPERADORES E DO ENCARREGADO DO TRATAMENTO DE DADOS PESSOAIS

Art. 5º O Controlador é o Tribunal de Justiça do Estado do Paraná, e as decisões referentes ao tratamento de dados pessoais serão tomadas por meio de Conselho integrado por um Desembargador e dois Juízes de Direito nomeados pelo Presidente do Tribunal.

Art. 6º Compete ao Controlador:
I - fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, entre as quais:
a) o modo como devem ser tratados os dados pessoais no Tribunal, a fim de que os respectivos processos sejam auditáveis;
b) a aplicação da metodologia de gestão de riscos no tratamento de dados;
c) a aplicação de metodologias de segurança da informação;
II - determinar a capacitação do Operador para que atue com responsabilidade, critério e ética;
III - verificar a observância das instruções e das normas sobre a matéria na instituição;
IV - incentivar a disseminação da cultura da privacidade de dados pessoais no Tribunal;
V - determinar a permanente atualização dessa Política e o desenvolvimento dos respectivos programas;
VI - comunicar à Autoridade Nacional de Proteção de Dados e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais que possam causar danos ou riscos relevantes ao titular.

Art. 7º Os Operadores serão designados pelo Presidente do Tribunal de Justiça, competindo-lhes realizar o tratamento de dados em nome do Controlador e segundo as instruções por ele fornecidas.

Art. 8º Compete aos Operadores:
I - documentar as operações que lhes cabem realizar durante o processo de tratamento de dados pessoais;
II - proteger a privacidade dos dados pessoais desde o ingresso destes na Instituição;
III - descrever os tipos de dados coletados;
IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade;
VI - supervisionar os demais agentes de tratamento de dados que lhe são subordinados.

Art. 9º O Presidente do Tribunal de Justiça deve nomear um Encarregado do tratamento de dados pessoais.

Art. 10º Compete ao Encarregado:
I - ser o canal de comunicação entre a Instituição e:
a) o titular de dados pessoais;
b) a Autoridade Nacional de Proteção de Dados Pessoais;
II - prestar esclarecimentos, realizar comunicações, orientar o Operador e os contratados sobre as práticas tomadas para garantir a proteção de dados pessoais;
III - determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais no Tribunal, em conformidade com o previsto na LGPD;
IV - executar as atribuições a si determinadas pelo Controlador;
V - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
VI - deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;
VII - deter conhecimentos técnicos sobre segurança e governança de dados;
VIII - realizar o atendimento dos titulares de dados pessoais internos e externos à Instituição;
IX - manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;
X - apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais;
XI - estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII - responder por incidentes no tratamento de dados pessoais.

Art. 11. O Controlador, por seu Conselho, e o Encarregado serão auxiliados pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais, formado por equipe técnica e multidisciplinar, a qual deverá ser integrada por representantes da Secretaria e dos departamentos do Tribunal de Justiça, mediante designação do Presidente do Tribunal.

CAPÍTULO VI
DAS NORMAS PARA O TRATAMENTO DE DADOS PESSOAIS NO TRIBUNAL

Art. 12. O Tribunal deve realizar o tratamento mínimo de dados pessoais, necessário e imprescindível à garantia do interesse público e à execução de suas funções jurisdicional e administrativa.

Art. 13. O Tribunal deve publicar, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu portal na Internet, com vistas à divulgação de informações sobre a privacidade de dados pessoais:
I - as hipóteses que fundamentam a realização do tratamento de dados pessoais na Instituição;
II - a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais;
III - a identificação e o contato do Controlador;
IV - a identificação e o contato do Encarregado;
V - as responsabilidades do Operador no tratamento dos dados e os direitos do titular, com menção expressa ao art. 18 da LGPD;
VI - a descrição dos titulares;
VII - a categoria de dados;
VIII - as categorias de destinatários;
IX - transferência internacional;
X - o prazo de conservação dos dados;
XI - as medidas de segurança adotadas;
XII - a política de segurança da informação;
XIII - o formulário para o exercício de direitos dos titulares de dados;
XIV - a política de privacidade para navegação no sítio eletrônico da Instituição em relação à Lei Geral de Proteção de Dados Pessoais e ao art. 7º, VIII, da Lei n.º 12.965/2014.

Art. 14. O tratamento de dados pessoais deverá ser realizado durante todo o ciclo de sua vida na Instituição, que compreende os atos de:
I - coleta;
II - produção;
III - recepção;
IV - classificação;
V - utilização;
VI - acesso;
VII - reprodução;
VIII - transmissão;
IX - distribuição;
X - processamento;
XI - arquivamento;
XII - armazenamento;
XIII - eliminação;
XIV - avaliação;
XV - controle;
XVI - modificação;
XVII - comunicação;
XVIII - transferência;
XIX - difusão;
XX - extração.

CAPÍTULO VII
DAS DIRETRIZES

Art. 15. Para conformar os processos e os procedimentos do Tribunal de Justiça à Lei Geral de Proteção de Dados Pessoais, devem ser consideradas as seguintes diretrizes:
I - levantamento dos dados pessoais tratados no Tribunal;
II - mapeamento dos fluxos de dados pessoais no Tribunal;
III - verificação da conformidade do tratamento com o previsto na LGPD;
IV - definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no Tribunal de Justiça;
V - revisão e atualização da política e dos programas de segurança da informação;
VI - definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais durante seu ciclo de vida;
VII - definição do modo de prestar as informações sobre o tratamento de dados pessoais;
VIII - revisão e adequação à LGPD dos contratos firmados no âmbito do Tribunal;
IX - revisão e adequação à LGPD dos processos e procedimentos relacionados à área de saúde;
X - elaboração de Política de Tratamento de Dados Pessoais específica para dados relativos a crianças, jovens e idosos;
XI - definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na parte administrativa do Tribunal.

CAPÍTULO VIII
DAS DISPOSIÇÕES FINAIS

Art. 16. O disposto nesta Resolução deve ser revisado e aperfeiçoado sempre que houver alterações significativas na arquitetura e/ou tecnologia referente, ou ainda, conforme sejam implementados os respectivos programas e constatada necessidade de novas previsões para conformidade do Tribunal à LGPD, especialmente as derivadas de determinações do Conselho Nacional de Justiça e da Autoridade Nacional de Proteção de Dados.

Art. 17. O Tribunal de Justiça deve assegurar, por suas unidades competentes, a manutenção dos dados pessoais em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Parágrafo único. O uso compartilhado de dados pessoais referidos no caput deste artigo deve atender a finalidades específicas de execução de políticas públicas e atribuição legal do Tribunal de Justiça e dos órgãos e entidades públicas destinatárias, respeitados os princípios de proteção de dados pessoais elencados no art. 6º e a vedação contida no § 1º do art. 26, ambos da LGPD.

Art. 18. As informações protegidas por sigilo e os dados pessoais relacionados aos casos de segredo de justiça continuam resguardados pelos atos normativos a elas relacionados.

Art. 19. A Corregedoria-Geral da Justiça expedirá normas complementares a esta Resolução, de acordo com as diretrizes estabelecidas pelo Controlador, para as Unidades Judiciárias de 1º grau de jurisdição e para os Serviços Notariais e de Registro no âmbito do Estado do Paraná, que deverão fornecer acesso aos dados por meio eletrônico para a Administração Pública, para fins de cumprimento ao art. 23, caput, da LGPD.

Art. 20. A Secretaria do Tribunal de Justiça, por suas unidades, prestará apoio técnico ao Controlador, ao Encarregado e ao Comitê de Segurança da Informação e Proteção de Dados Pessoais, segundo as suas especialidades, nas funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos e de gestão documental e estratégica, por meio de suas consultorias e setores competentes.

Art. 21. Os casos omissos serão resolvidos pelo Controlador de dados pessoais, mediante deliberação do respectivo Conselho.

Art. 22. Esta Resolução entra em vigor na data de sua publicação.

Curitiba, 26 de outubro de 2020.

Des. ADALBERTO JORGE XISTO PEREIRA
Presidente do Tribunal de Justiça do Estado do Paraná

Estiveram presentes à sessão os Excelentíssimos Senhores Desembargadores Adalberto Jorge Xisto Pereira, Ramon de Medeiros Nogueira (substituindo o Des. Telmo Cherem), Regina Helena Afonso Portes, Clayton Coutinho de Camargo, Ruy Cunha Sobrinho, Irajá Romeo Hilgenberg Prestes Mattar, Robson Marques Cury, Maria José de Toledo Marcondes Teixeira, Jorge Wagih Massad, Sônia Regina de Castro, Hamilton Mussi Correa (substituindo o Des. Rogério Luís Nielsen Kanayama), Nilson Mizuta (substituindo o Des. Lauro Laertes de Oliveira), Paulo Roberto Vasconcelos, Arquelau Araujo Ribas, José Augusto Gomes Aniceto, Carlos Mansur Arida, Paulo Cezar Bellio, Mário Helton Jorge, José Laurindo de Souza Netto, Luiz Osório Moraes Panza, Fernando Paulino da Silva Wolff Filho, Clayton de Albuquerque Maranhão, D'Artagnan Serpa Sá (substituindo o Des. Sigurd Roberto Bengtsson), Wellington Emanuel Coimbra de Moura e Fernando Antonio Prazeres..