Pesquisa Única de Athos

Detalhes do documento
Número:	397/2023
Assunto:	1.Instituição 2.Órgão Especial 3.Política de Privacidade 4.Proteção de Dados Pessoais 5.Lei nº 13.709/2018 6.Lei Geral de Proteção de Dados Pessoais 7.Poder Judiciário do Estado do Paraná
Data:	2023-07-13 00:00:00.0
Diário:	3471
Situação:	VIGENTE
Ementa:	Institui a Política de Privacidade e Proteção de Dados Pessoais, para fins de cumprimento da Lei n.º 13.709/2018 - Lei Geral de Proteção de Dados Pessoais, no âmbito do Poder Judiciário do Estado do Paraná.
Anexos:
Referências:	Não há referências
Documento

TRIBUNAL DE JUSTIÇA

RESOLUÇÃO N.º 397-OE, de 10 de julho de 2023.

Institui a Política de Privacidade e Proteção de Dados Pessoais, para fins de cumprimento da Lei n.º 13.709/2018 - Lei Geral de Proteção de Dados Pessoais, no âmbito do Poder Judiciário do Estado do Paraná.

O TRIBUNAL DE JUSTIÇA DO ESTADO DO PARANÁ, por seu Órgão Especial, no uso de suas atribuições legais,
CONSIDERANDO o disposto nos incisos X e XII do art. 5º da Constituição da República, que instituem o direito à privacidade;
CONSIDERANDO o disposto no inciso LXXIX do art. 5º da Constituição da República, que institui o direito à proteção dos dados pessoais, inclusive nos meios digitais;
CONSIDERANDO a Lei n.º 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
CONSIDERANDO a Lei n.º 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação, que regulamenta o direito de acesso a informações públicas no Brasil;
CONSIDERANDO a Lei n.º 12.965, de 23 de abril de 2014 - Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil;
CONSIDERANDO a Resolução CNJ n.º 121, de 5 de outubro de 2010, que dispõe sobre a divulgação de dados processuais eletrônicos na rede mundial de computadores, expedição de certidões judiciais e dá outras providências;
CONSIDERANDO a Resolução CNJ n.º 363, de 12 de janeiro de 2021, que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais;
CONSIDERANDO a Recomendação CNJ n.º 73, de 20 de agosto de 2020, que dispõe sobre a adoção de medidas preparatórias e ações iniciais dos tribunais para adequação às disposições contidas na Lei Geral de Proteção de Dados Pessoais;
CONSIDERANDO as diretrizes traçadas por meio do Decreto Judiciário n.º 631/2016, a respeito da Política de Segurança de Tecnologia da Informação (PSTI) do Tribunal de Justiça do Estado do Paraná;
CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos titulares nos atos processuais e administrativos e as informações pessoais existentes nas bases de dados do Poder Judiciário do Estado do Paraná;
CONSIDERANDO o contido no protocolado SEI nº 0048803-69.2022.8.16.6000;

RESOLVE:

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art. 1º Instituir, no âmbito do Tribunal de Justiça do Estado do Paraná, a Política de Privacidade e Proteção de Dados Pessoais do Poder Judiciário do Estado do Paraná, com o objetivo de definir e divulgar suas regras de privacidade, proteção e tratamento de dados pessoais, em consonância com a legislação aplicável e com os regulamentos e orientações do Conselho Nacional de Justiça, do Conselho Nacional de Proteção de Dados Pessoais e de demais autoridades competentes.

Art. 2º A presente Política se aplica a qualquer operação de tratamento de dados pessoais, em suporte físico ou eletrônico, realizada pelo Poder Judiciário do Estado do Paraná, regula a proteção de dados pessoais nas atividades jurisdicionais e administrativas do Tribunal de Justiça, bem como no relacionamento do órgão com os usuários de seus serviços e com os magistrados, servidores, colaboradores, fornecedores e terceiros, assim como titulares dos dados pessoais cujo tratamento seja por aquele realizado.
Parágrafo único. Os dados pessoais coletados e tratados nos sítios eletrônicos e sistemas judiciais e administrativos do Tribunal de Justiça poderão ser regulados por atos normativos específicos, que deverão ser interpretados de acordo com esta Política.

Art. 3º Os magistrados, servidores, colaboradores, fornecedores e quaisquer outras pessoas que realizam tratamento de dados pessoais em nome do Tribunal de Justiça se sujeitam às diretrizes, às normas e aos procedimentos previstos nesta resolução e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.
§1º Inclui-se na condição de colaborador o estagiário, o terceirizado e todo aquele que preste serviço ou desenvolva, no Tribunal de Justiça, qualquer atividade de natureza permanente, temporária ou excepcional, ainda que sem retribuição financeira direta ou indiretamente por parte deste órgão.
§2º Os Serviços Notariais e de Registro, cujos titulares atuam por delegação do Poder Judiciário, serão responsáveis pelo tratamento de seus dados pessoais e se submetem às disposições da Lei Geral de Proteção de Dados Pessoais, ao Provimento 134 da Corregedoria Nacional de Justiça, aos atos da Corregedoria-Geral de Justiça, e, no que couber, aos termos desta Política.

CAPÍTULO II
DOS TERMOS E DEFINIÇÕES

Art. 4º Para efeito desta Resolução, fica estabelecido o significado dos seguintes termos e expressões:
I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;
II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - Dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - Banco de dados: conjunto estruturado de dados pessoais, estabelecido em meio físico ou eletrônico;
V - Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - Agentes de Tratamento: o Controlador e o Operador;
VII - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VIII - Operador: pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional do Poder Judiciário do Estado do Paraná, que realiza o tratamento de dados pessoais em nome e por ordem do Controlador, segundo as instruções estabelecidas por este;
IX - Encarregado: pessoa indicada pelo Controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
X - Autoridade Nacional de Proteção de Dados: órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais, aplicar sanções em caso de descumprimento de suas determinações, bem como elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
XI - Tratamento: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;
XII - Política: definição de determinado objetivo da instituição e dos meios para atingi-lo;
XIII - Programa: conjunto de mecanismos e procedimentos administrados de forma integrada, reunidos em documento único, no qual são previstas ações articuladas e dinâmicas para atingir determinado objetivo;
XIV - Princípio: norteamento para a atuação de magistrados, servidores, estagiários, terceirizados e de todos aqueles que estabeleçam relação com o Poder Judiciário;
XV - Gestão de Riscos: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial, capazes de comprometer o alcance dos objetivos organizacionais;
XVI - Anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;
XVII - Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XVIII - Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIX - Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XX - Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XXI - Compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre órgãos públicos e privados;
XXII - Relatório de Impacto à Proteção de Dados Pessoais: documentação do Controlador com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e mecanismos de mitigação de risco;
XXIII - Cookie: pequeno arquivo de computador ou pacote de dados enviados por um sítio de Internet para o navegador do usuário, quando o utilizador visita o sítio. Cada vez que o usuário visita o sítio novamente, o navegador envia o cookie de volta para o servidor para notificar atividades prévias do usuário, com o objetivo de melhorar a experiência de navegação.

CAPÍTULO III
DOS PRINCÍPIOS

Art. 5º A aplicação desta Política e as atividades de tratamento de dados pessoais serão pautadas pela boa-fé e pelos seguintes princípios:
I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Parágrafo único. De modo a tutelar o direito à proteção de dados pessoais e à autodeterminação informativa das pessoas naturais, o Poder Judiciário do Estado do Paraná deverá conciliar os princípios da publicidade e da eficiência com a proteção da intimidade e da vida privada da pessoa natural, em consonância com a Lei Geral de Proteção de Dados Pessoais, a Lei do Marco Civil da Internet e a Lei de Acesso à Informação.

CAPÍTULO IV
DOS AGENTES E ÓRGÃOS

Seção I
Do Controlador

Art. 6º O Tribunal de Justiça é o Controlador dos dados pessoais por ele tratados, nos termos das suas competências legal e institucional, representado pela sua Presidência.
Parágrafo único. O Tribunal de Justiça atuará como Cocontrolador quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

Art. 7º Compete ao Controlador, além das decisões referentes ao tratamento de dados pessoais:
I - indicar o Encarregado pelo tratamento de dados pessoais;
II - fornecer as instruções para a Política de Privacidade e Proteção de Dados Pessoais, e respectivos programas, entre as quais:
a) o modo como devem ser tratados os dados pessoais, a fim de que os respectivos processos sejam auditáveis;
b) a aplicação da metodologia de gestão de riscos no tratamento de dados;
c) a aplicação de metodologias de segurança da informação;
d) determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais, em conformidade com o previsto na legislação.
III - manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse, exigindo que o Operador também o faça, contendo informações sobre:
a) finalidade do tratamento;
b) base legal;
c) descrição dos titulares;
d) categorias de dados;
e) categorias de destinatários;
f) eventual transferência internacional; e
g) prazo de conservação e medidas de segurança adotadas, nos termos do art. 37 da Lei Geral de Proteção de Dados Pessoais.
IV - orientar o Operador quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as normas regulamentadoras da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Justiça, determinando sua capacitação, para que atue com responsabilidade, critério e ética;
V - verificar a observância das instruções e das normas sobre a matéria no âmbito interno;
VI - incentivar a disseminação da cultura da privacidade de dados pessoais por meio de ações educativas;
VII - determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas;
VIII - elaborar relatório de impacto à proteção de dados pessoais, inclusive de dados pessoais sensíveis, referente às suas operações de tratamento de dados, nos termos do art. 38, parágrafo único, da Lei Geral de Proteção de Dados Pessoais;
IX - comunicar à Autoridade Nacional de Proteção de Dados e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais que possam acarretar riscos ou danos relevantes ao titular;
X - informar o Comitê Gestor de Proteção de Dados Pessoais sobre os projetos de automação e inteligência artificial.
Parágrafo único. O Controlador contará com apoio efetivo do Comitê Gestor de Proteção de Dados Pessoais, no âmbito das competências que lhe são atribuídas, para o adequado desempenho de suas funções.

Seção II
Do Operador

Art. 8º Operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional do Poder Judiciário do Estado do Paraná, que realiza o tratamento de dados pessoais em nome e por ordem do Controlador, segundo as instruções estabelecidas por este, que não atua como profissional subordinado a este ou como membro de seus órgãos.

Art. 9º Compete ao Operador:
I - documentar e manter registro das operações que lhe cabem realizar durante o processo de tratamento de dados pessoais, contendo informações sobre:
a) finalidade do tratamento;
b) base legal;
c) descrição dos titulares;
d) categorias de dados;
e) categorias de destinatários;
f) eventual transferência internacional; e
g) prazo de conservação e medidas de segurança adotadas, nos termos do art. 37 da Lei Geral de Proteção de Dados Pessoais.
II - proteger a privacidade dos dados pessoais desde o ingresso destes na Instituição;
III - descrever os tipos de dados coletados;
IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade;
VI - supervisionar os demais agentes de tratamento de dados que lhe são subordinados.

Seção III
Do Encarregado

Art. 10. O Encarregado pelo tratamento de dados pessoais será indicado por ato da Presidência do Tribunal de Justiça e exercerá, cumulativamente, a função de Presidente do Comitê Gestor de Proteção de Dados Pessoais, nos termos do art. 15 desta Resolução.
Parágrafo único. O Encarregado deverá deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas.

Art. 11. Compete ao Encarregado:
I - ser o canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
II - aceitar reclamações e comunicações dos titulares quanto ao tratamento de seus dados, prestar esclarecimentos, respondê-las e adotar providências para que sejam sanados os desvios;
III - realizar o atendimento dos titulares de dados pessoais internos e externos do Tribunal de Justiça;
IV - manter a comunicação sobre o tratamento de dados pessoais com as autoridades externas e internas do Tribunal de Justiça, bem como adotar providências;
V - orientar os operadores, magistrados, servidores, estagiários, colaboradores e demais prestadores de serviço do Tribunal de Justiça a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
VI - executar as atribuições determinadas a si pelo Controlador ou estabelecidas em normas complementares;
VII - dar cumprimento à publicidade da dispensa de consentimento para o tratamento de dados pessoais, em conformidade com o previsto na legislação e com o determinado pelo Controlador;
VIII - apoiar a implementação e a manutenção de práticas de conformidade à legislação de proteção de dados pessoais e normas correlatas;
IX - estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais.
Parágrafo único. O Encarregado contará com apoio efetivo do Comitê Gestor de Proteção de Dados Pessoais e do Grupo de Trabalho Técnico no âmbito das competências atribuídas a cada uma dessas estruturas, para o adequado desempenho de suas funções.

Art. 12. O Tribunal de Justiça poderá padronizar modelos de comunicação para utilização pelo Encarregado no atendimento de solicitações ou dúvidas de titulares de dados pessoais e demais procedimentos organizacionais visando a assegurar a celeridade.

Seção IV
Do Comitê Gestor de Proteção de Dados Pessoais

Art. 13. Fica instituído o Comitê Gestor de Proteção de Dados Pessoais, órgão consultivo vinculado à Presidência do Tribunal de Justiça, formado por equipe técnica e multidisciplinar, responsável pela avaliação dos mecanismos de tratamento e proteção dos dados pessoais e informações processuais e pela proposição de ações voltadas ao seu aperfeiçoamento, com vistas ao cumprimento das disposições da Lei Geral de Proteção de Dados Pessoais.

Art. 14. O Comitê Gestor de Proteção de Dados Pessoais será composto pelos seguintes membros:
I - 1 (um) Desembargador, que o presidirá;
II - 1 (um) Juiz Auxiliar da Presidência do Tribunal de Justiça;
III - 1 (um) Juiz Auxiliar da Corregedoria-Geral da Justiça;
IV - no mínimo, 1 (um) servidor como representante de cada uma das seguintes unidades:
a) Ouvidoria-Geral da Justiça;
b) Gabinete do Secretário;
c) Departamento do Planejamento;
d) Departamento de Tecnologia da Informação e Comunicação;
e) Departamento da Corregedoria-Geral da Justiça;
f) Departamento de Gestão de Recursos Humanos;
g) Departamento de Gestão Documental;
h) Departamento Econômico e Financeiro;
i) Departamento da Magistratura;
j) Núcleo de Governança, Riscos e Compliance;
k) Departamento Judiciário.
V - 1 (um) servidor com especialidade em segurança da informação;
VI - 1 (um) servidor com especialidade em proteção de dados.
§1º Os membros do Comitê Gestor de Proteção de Dados Pessoais serão designados por ato da Presidência do Tribunal de Justiça e poderão indicar servidores ou juízes auxiliares para representá-los na condição de suplentes.
§2º As reuniões do Comitê Gestor de Proteção de Dados Pessoais terão periodicidade mínima mensal, sem prejuízo das reuniões extraordinárias que se façam necessárias.
§3° No desempenho de suas funções, o Presidente do Comitê poderá solicitar, ao Presidente do Tribunal de Justiça, quando houver afastamento e/ou ônus ao Poder Público, a participação de outros magistrados e de representantes de outras unidades administrativas, além das previstas no inciso IV, nas reuniões ordinárias e extraordinárias de que tratam o §2°.

Art. 15. O Presidente do Comitê Gestor de Proteção de Dados Pessoais exercerá também a função de Encarregado pelo tratamento de dados pessoais no âmbito do Poder Judiciário do Estado do Paraná, na forma prevista no art. 41 da Lei Geral de Proteção de Dados Pessoais.

Art. 16. São atribuições do Comitê Gestor de Proteção de Dados Pessoais:
I - avaliar os mecanismos de tratamento e proteção de dados existentes e propor políticas, estratégias e metas para a conformidade do Tribunal de Justiça com as disposições da Lei Geral de Proteção de Dados Pessoais;
II - formular princípios e diretrizes para a gestão de dados pessoais e propor sua regulamentação;
III - supervisionar a execução dos planos, dos projetos e das ações aprovados para viabilizar a implantação das diretrizes previstas na legislação de proteção de dados pessoais e normas correlatas;
IV - prestar orientações, informações e ofertar pareceres sobre tratamento, privacidade e proteção de dados pessoais de acordo com as diretrizes estabelecidas na Lei Geral de Proteção de Dados Pessoais e normas correlatas, nos casos em que for consultado;
V - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos;
VI - fomentar a implementação da cultura de proteção de dados pessoais no âmbito do Poder Judiciário do Estado do Paraná, propondo a realização de ações de capacitação e de sensibilização, inclusive junto à Escola Judicial do Paraná;
VII - supervisionar a aplicação da Política de Privacidade e Proteção de Dados Pessoais, no âmbito do Poder Judiciário do Estado do Paraná, em conformidade com o art. 1º, VI, alínea "c", da Resolução n.º 363/2021, do Conselho Nacional de Justiça.
Parágrafo único. No desempenho de suas atribuições, o Comitê Gestor de Proteção de Dados Pessoais deverá observar as diretrizes da Política de Segurança de Tecnologia da Informação no âmbito do Poder Judiciário do Estado do Paraná, e atuar de forma coordenada com o Comitê Segurança de Tecnologia da Informação, submetendo todas as decisões, propostas, recomendações e diretrizes à Presidência do Tribunal de Justiça, para aprovação.

Art. 17. O Comitê Gestor de Proteção de Dados Pessoais poderá solicitar a colaboração de outras unidades do Tribunal de Justiça ou de pessoas com expertise no tema quando houver necessidade de apoio técnico ou de conhecimentos específicos, em especial, das Consultorias Jurídicas dos setores administrativos.

Seção V
Do Grupo de Trabalho Técnico

Art. 18. Fica instituído o Grupo de Trabalho Técnico, órgão de caráter multidisciplinar, composto, entre outros, por servidores das áreas de tecnologia, segurança da informação e jurídica, responsável por prestar auxílio ao Encarregado e ao Comitê Gestor de Proteção de Dados Pessoais no desempenho de suas atividades, com vistas ao cumprimento das disposições da Lei Geral de Proteção de Dados Pessoais.
Parágrafo único. A composição, as atribuições e a designação dos integrantes do Grupo de Trabalho Técnico serão estabelecidas em ato da Presidência do Tribunal de Justiça.

CAPÍTULO V
DO TRATAMENTO DE DADOS PESSOAIS

Art. 19. O tratamento de dados pessoais pelo Tribunal de Justiça deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
Parágrafo único. O Regimento Interno do Tribunal de Justiça e demais normas de organização judiciária definem as funções e atividades que constituem as finalidades e balizadores do tratamento de dados pessoais para fins desta Política.

Art. 20. O Tribunal de Justiça deve disponibilizar e manter, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu sítio eletrônico, informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a realização do tratamento de dados pessoais.

Art. 21. O tratamento de dados pessoais deverá ser realizado durante todo o ciclo na Instituição, que compreende os atos de: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência e difusão.
Art. 22. O Tribunal de Justiça poderá, nas atividades voltadas ao exercício de suas competências legais e constitucionais, proceder ao tratamento de dados pessoais independentemente de consentimento dos titulares.
§1º Ressalvadas as hipóteses legalmente previstas de dispensa do consentimento dos titulares, o órgão deverá obter o referido consentimento para tratamento de dados pessoais.
§ 2º No caso de crianças e adolescentes, o consentimento é dispensado quando os dados pessoais forem coletados para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento dado por um dos pais ou responsável legal.

Art. 23. Os dados pessoais tratados pelo Tribunal de Justiça devem ser:
I - mapeados e inventariados para fins de gestão e controle;
II - protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
III - mantidos disponíveis, íntegros e confidenciais, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou face a solicitação de remoção ou revogação do consentimento pelo titular, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de prazos de retenção de dados;
IV - tratados somente quando diante de hipótese legal autorizativa;
V - compartilhados somente para o exercício das atividades voltadas ao estrito exercício de suas competências legais e constitucionais, ou para atendimento de políticas públicas aplicáveis; e
VI - revistos em periodicidade mínima anual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

Art. 24. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta Política, salvo quando for revertido o processo de anonimização ao qual foram submetidos.
Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.

Art. 25. A responsabilidade do Tribunal de Justiça pelo tratamento de dados pessoais estará circunscrita aos deveres decorrentes do exercício de suas atribuições legais e institucionais e do emprego de boas práticas de governança e de segurança da informação, conforme estabelecidas pela Lei Geral de Proteção de Dados Pessoais e regulamentos e orientações do Conselho Nacional de Justiça, do Conselho Nacional de Proteção de Dados Pessoais e de demais autoridades competentes.

CAPÍTULO VI
DOS DIREITOS DO TITULAR DE DADOS PESSOAIS

Art. 26. O Tribunal de Justiça deve zelar para que o titular do dado pessoal usufrua dos direitos assegurados pela legislação e regulamentação correlatas, informando adequadamente os procedimentos necessários à sua fruição nos respectivos sítios eletrônicos e materiais de divulgação específicos.

Art. 27. O titular de dados pessoais poderá requisitar informações sobre o tratamento de dados e exercer os direitos previstos na legislação e regulamentação correlatas, a qualquer tempo, de forma facilitada e gratuita, em requisição expressa e específica, preferencialmente por meio do formulário eletrônico disponível no sítio eletrônico do Tribunal de Justiça.
Parágrafo único. A formulação da requisição referida no caput deste artigo e a correspondente resposta serão feitas por meio seguro e idôneo, o qual deverá conter funcionalidades de segurança que garantam a inequívoca identificação do requisitante.

Art. 28. O titular de dados pessoais tem o direito de obter do Controlador, a qualquer momento e mediante requerimento ou solicitação formal:
I - a confirmação da existência de tratamento;
II - o acesso aos dados mantidos pelo controlador;
III - a correção de dados incompletos, inexatos ou desatualizados;
IV - a anonimização, bloqueio ou eliminação de dados, desde que sejam considerados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei Geral de Proteção de Dados Pessoais ou nesta Política;
V - a eliminação dos dados pessoais tratados com o seu consentimento, exceto nas hipóteses necessárias de conservação para adimplemento a princípios e normas da atividade administrativa, caso em que será informado acerca do prazo da conservação de seus dados;
VI - informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
VII - informação sobre as finalidades do tratamento e o seu fundamento jurídico;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - a revogação do consentimento mediante manifestação expressa não possui efeitos retroativos;
X - informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.

CAPÍTULO VII
DO COMPARTILHAMENTO DE DADOS PESSOAIS

Art. 29. O Tribunal de Justiça deve assegurar, por suas unidades competentes, a manutenção dos dados pessoais em formato interoperável e estruturado para o uso compartilhado, com vistas ao cumprimento de suas obrigações legais ou regulatórias, à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.
§1º. O uso compartilhado de dados pessoais referidos no caput deste artigo deve atender a finalidades específicas de execução de políticas públicas e atribuição legal do Tribunal de Justiça e dos órgãos e entidades públicas destinatárias, respeitados os princípios de proteção de dados pessoais elencados no art. 6º e a vedação contida no § 1º do art. 26, ambos da Lei Geral de Proteção de Dados Pessoais.
§2º. O controlador deve manter o registro do compartilhamento dos dados pessoais para efeito de comprovação prevista no inciso VII, do art. 18, da Lei Geral de Proteção de Dados Pessoais.

CAPÍTULO VIII
DA TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

Art. 30. Considerando a prestação do serviço administrativo ou judicial, a transferência internacional de dados pessoais será realizada observando-se esta Política e os termos da legislação vigente, somente sendo permitida nos seguintes casos:
I - transferência de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado;
II - comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais, como cláusulas contratuais específicas, cláusulas padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;
III - cooperação jurídica internacional entre órgãos públicos de inteligência para fins de investigação;
IV - proteção da vida ou da incolumidade física do titular ou de terceiro;
V - autorização pela Autoridade Nacional de Proteção de Dados;
VI - compromisso assumido em acordo de cooperação internacional;
VII - execução de política pública ou atribuição legal do serviço público;
VIII - existência de consentimento específico e em destaque do titular dos dados pessoais;
IX - cumprimento de obrigação legal ou regulatória;
X - execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e
XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.

CAPÍTULO IX
DOS CONTRATOS, CONVÊNIOS E INSTRUMENTOS CONGÊNERES

Art. 31. Os ajustes celebrados pelo Tribunal de Justiça com terceiros, diante de suas particularidades, serão regidos por disciplina própria, bem como pela Lei Geral de Proteção de Dados Pessoais.

Art. 32. O Controlador poderá requisitar, a qualquer tempo e desde que não sejam objeto de sigilo ou proteção legal, informações a respeito do tratamento dos dados pessoais confiados a terceiros.

Art. 33. Os terceiros, ao tratarem os dados pessoais a eles confiados pelo Tribunal de Justiça, este no papel de Contratante, serão considerados Operadores e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão os seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais definidas pelo Contratante;
II - declarar que aplica medidas técnicas e administrativas adequadas de segurança para a proteção dos dados pessoais, nos termos definidos na legislação, em normas administrativas do Contratante e nos instrumentos contratuais;
III - manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de fornecer prova eletrônica a qualquer tempo;
IV - seguir fielmente as diretrizes e instruções transmitidas pelo Contratante;
V - facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo a prova do compromisso estar disponível em caráter permanente para exibição ao respectivo Contratante, mediante solicitação;
VI - permitir a realização de auditorias, incluindo inspeções pelo Contratante ou por auditor autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo Contratante, de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII - comunicar formalmente e de imediato ao Encarregado a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX - descartar de forma irrecuperável, ou devolver para o Contratante, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
Parágrafo único. É vedado ao Operador adicionar qualquer outra finalidade aos dados pessoais, devendo realizar o tratamento exclusivamente para alcançar o objetivo estabelecido pelo Controlador.

Art. 34. Os contratos, convênios e instrumentos congêneres, vigentes e futuros, que envolvam tratamento de dados pessoais, deverão ser revistos para inclusão de cláusulas específicas para conformidade com a Lei Geral de Proteção de Dados Pessoais, considerando os seguintes critérios:
I - para uma determinada operação de tratamento de dados pessoais deve haver uma respectiva finalidade específica, em consonância ao interesse público e com lastro em regra de competência administrativa aplicável à situação concreta;
II - o tratamento de dados pessoais previsto no respectivo ato deve ser compatível com a finalidade especificada e necessário para a sua realização;
III - inclusão de cláusulas de eliminação de dados pessoais nos contratos, convênios e instrumentos congêneres, à luz dos parâmetros da finalidade e da necessidade acima indicados;
IV - realizar relatório de impacto de proteção de dados previamente ao contrato ou convênio, com observância do princípio da transparência.

Art. 35. Os contratos, convênios e instrumentos congêneres mantidos pelo Tribunal de Justiça deverão estar disponíveis para consulta pelos interessados, nos termos da Lei de Acesso à Informação, observada a proteção dos dados pessoais que não sejam essenciais ao cumprimento da referida lei e ao interesse público, de acordo com a Lei Geral de Proteção de Dados Pessoais, de modo a se evitar a exposição indevida de dados pessoais que não precisem ser publicizados.
Parágrafo único. Para o cumprimento do disposto no caput, devem ser adotadas medidas tais como a aposição de tarjas sobre dados pessoais ou a supressão parcial de números cadastrais.

CAPÍTULO X
DA GOVERNANÇA, DA SEGURANÇA E DAS BOAS PRÁTICAS

Art. 36. O Tribunal de Justiça deve dispor de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. Embora sejam permanentes os esforços em promover um ambiente institucional seguro, em meio físico e digital, tal precaução não implica em garantia contra a possibilidade de ocorrência de um incidente de segurança ou de violação da proteção dos dados pessoais, sobretudo, em razão da contínua diversificação de ameaças e riscos cibernéticos.

Art. 37. O Tribunal de Justiça deve adotar boas práticas e governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais.
Parágrafo único. As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas na esfera interna do Tribunal de Justiça e em seu sítio eletrônico, visando a disseminar cultura protetiva, com conscientização e sensibilização dos interessados.

Art. 38. Com vistas à conformidade dos processos e procedimentos do Tribunal de Justiça às disposições da legislação de proteção de dados pessoais e normas correlatas, devem ser consideradas as seguintes medidas:
I - realização do levantamento dos dados pessoais e do mapeamento dos seus fluxos;
II - realização do mapeamento de todas as atividades de tratamento de dados pessoais;
III - realização da avaliação das vulnerabilidades (gap assessment) para a análise das lacunas da instituição em relação à proteção de dados pessoais;
IV - elaboração de plano de ação (Roadmap), com a previsão de todas as atividades constantes nesta Resolução, na legislação de proteção de dados pessoais e normas correlatas;
V - elaboração de política de segurança da informação que contenha:
a) plano de resposta a incidentes;
b) previsão de adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços;
c) avaliação dos sistemas, aplicativos e dos bancos de dados, em que houver tratamento de dados pessoais, submetendo tais resultados à apreciação do Comitê Gestor de Proteção de Dados Pessoais para as devidas deliberações;
d) avaliação da segurança de integrações de sistemas;
e) análise de segurança das hipóteses de compartilhamento de dados pessoais com terceiros.
VI - revisão e atualização permanentes da política e dos programas de segurança da informação;
VII - elaboração ou adequação das políticas de privacidade e termos uso;
VIII - elaboração de programa de gerenciamento de riscos do tratamento de dados pessoais;
IX - definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais em todo o seu fluxo de tratamento e durante todo o seu ciclo de vida;
X - definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais nas atividades administrativas do Tribunal de Justiça;
XI - padronização do modo de tratamento de dados pessoais, com a adoção de anonimização ou pseudonimização, sempre que necessário;
XII - capacitação de magistrados e servidores, bem como conscientização do público interno e externo, acerca desta Política e das boas práticas e governança dela decorrentes;
XIII - adequação dos normativos, formulários, sistemas e aplicativos informatizados à legislação de proteção de dados pessoais e normas correlatas;
XIV - adequação de contratos, acordos de cooperação técnica, convênios ou atos similares;
XV - adequação do sítio eletrônico para que sejam disponibilizadas, de modo ostensivo e atualizado, em lugar de fácil acesso e visualização, com vistas à divulgação de informações adequadas sobre tratamento, privacidade e proteção de dados pessoais:
a) os requisitos para o tratamento legítimo de dados;
b) as obrigações do Controlador e os direitos dos titulares;
c) as identidades e informações de contato do Controlador e do Encarregado;
d) formulário para o exercício do direito de solicitação de informações pessoais ou de reclamações pelo titular dos dados pessoais, bem como de orientações quanto ao procedimento para o seu encaminhamento;
e) política geral de privacidade e proteção de dados pessoais a ser aplicada internamente no âmbito do Tribunal de Justiça;
f) política de privacidade para navegação no sítio eletrônico do Tribunal de Justiça;
g) aviso de coleta de dados pessoais em navegação pela Internet, inclusive por meio de cookies;
h) registros de tratamentos de dados pessoais, contendo, entre outras, informações sobre:
1. finalidade do tratamento;
2. base legal;
3. descrição dos titulares;
4. categorias de dados;
5. categorias de destinatários;
6. transferência internacional
7. prazo de conservação;
8. medidas de segurança adotadas;
9. a política de segurança da informação.

Art. 39. As medidas que visam à privacidade e à proteção de dados pessoais devem ser adotadas durante todo o ciclo de vida dos projetos, sistemas, serviços, produtos ou processos de desenvolvimento de soluções computacionais e gerenciamento de dados, incluindo a incorporação de tarefas relacionadas ao tratamento, exposição e uso de dados pelos sistemas.

Art. 40. O Encarregado e o Comitê Gestor de Proteção de Dados Pessoais deverão manter a Presidência do Tribunal de Justiça a par de aspectos e fatos significativos e de interesse.
Parágrafo único. No caso de incidente que represente risco ou dano relevante aos titulares dos dados, a ciência à Presidência do Tribunal não exclui a necessidade de comunicação à Autoridade Nacional de Proteção de Dados e aos titulares, nos termos da Lei Geral de Proteção de Dados Pessoais e de atos normativos do Conselho Nacional de Justiça.

Art. 41. A Política de Privacidade e Proteção de Dados Pessoais deve ser revista periodicamente, em intervalos planejados não superiores a 12 (doze) meses, a partir da data de sua publicação, ou ante a ocorrência de algumas das seguintes condições:
I - edição ou alteração de leis e/ou regulamentos relevantes;
II - alteração de diretrizes estratégicas pelo Tribunal de Justiça;
III - expiração da data de validade do documento, se aplicável;
IV - mudanças significativas na arquitetura ou de ordem tecnológica relacionadas ao tratamento de dados pessoais na organização do Tribunal de Justiça;
V - análises de risco em relatório de impacto à proteção de dados pessoais que indique a necessidade de modificação no documento para readequação da organização visando a prevenir ou mitigar riscos relevantes.

Art. 42. Independentemente da revisão ou atualização desta Política, deverá ser elaborado, no mínimo anualmente, um relatório de impacto à proteção de dados pessoais, identificando vulnerabilidades e respectivos Planos de Ação, por meio do processo institucional de gestão de riscos.
Parágrafo único. O relatório de impacto à proteção de dados pessoais deverá ser atualizado sempre que um serviço for disponibilizado ou alterado.

Art. 43. O processo de análise para determinar a adequação, suficiência e eficácia dos documentos desta Política deve ser formalizado com o registro de diagnósticos e sugestões, assim como das aprovações respectivas.

CAPÍTULO XI
DA FISCALIZAÇÃO

Art. 44. O Comitê Gestor de Privacidade e Proteção de Dados Pessoais, deverá definir, ad referendum da Presidência do Tribunal de Justiça, os procedimentos e mecanismos de fiscalização do cumprimento desta Política.

CAPÍTULO XII
DA PROTEÇÃO DE DADOS PESSOAIS DE MAGISTRADOS, DE SERVIDORES E DE COLABORADORES

Art. 45. A proteção de dados pessoais de magistrados, de servidores, de estagiários e de colaboradores deverá observar as condições determinadas pelo Conselho Nacional de Justiça, pelo Conselho Nacional de Proteção de Dados Pessoais e pela Autoridade Nacional de Proteção de Dados, na forma da legislação e regulamentação vigentes.

CAPÍTULO XIII
DISPOSIÇÕES FINAIS

Art. 46. As diretrizes estabelecidas nesta Política não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras normas, medidas de segurança e procedimentos complementares.

Art. 47. Os dados pessoais e informações protegidos por sigilo ou segredo de justiça continuam resguardados pelos atos normativos a elas relacionados.

Art. 48. A Corregedoria-Geral da Justiça e a Corregedoria da Justiça supervisionarão e expedirão normas complementares a esta Resolução, de acordo com as diretrizes estabelecidas pelo Comitê Gestor de Proteção de Dados Pessoais, para que as Unidades Judiciárias de 1º grau de jurisdição e os Serviços Notariais e de Registro no âmbito do Estado do Paraná analisem e promovam a adequação à Lei Geral de Proteção de Dados Pessoais no âmbito de suas atribuições.

Art. 49. A Secretaria do Tribunal de Justiça, por suas unidades, prestará apoio técnico ao Controlador, ao Encarregado e ao Comitê Gestor de Proteção de Dados Pessoais, segundo as suas especialidades, nas funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos e de gestão documental e estratégica, por meio de suas consultorias e setores competentes.

Art. 50. Os casos omissos serão resolvidos pela Presidência do Tribunal, ouvidos, no que couber, o Encarregado e o Comitê Gestor de Proteção de Dados Pessoais.

Art. 51. Revogam-se as disposições em contrário.

Art. 52. Esta Resolução entra em vigor na data de sua publicação.

Curitiba, 10 de julho de 2023.

DES. LUIZ FERNANDO TOMASI KEPPEN
Presidente do Tribunal de Justiça do Estado do Paraná

Estiveram presentes à sessão os Excelentíssimos Senhores Desembargadores e as Excelentíssimas Senhoras Desembargadoras: Luiz Fernando Tomasi Keppen, Ramon de Medeiros Nogueira (substituindo o Des. Telmo Cherem), Carvílio da Silveira Filho, Marcus Vinícius de Lacerda Costa, Robson Marques Cury, Eugênio Achille Grandinetti (substituindo a Desª. Maria José de Toledo Marcondes Teixeira), Miguel Kfouri Neto (substituindo o Des. Jorge Wagih Massad), Sônia Regina de Castro, Rogério Luís Nielsen Kanayama, Lauro Laertes de Oliveira, Arquelau Araujo Ribas, Antonio Renato Strapasson, Hamilton Mussi Corrêa, José Augusto Gomes Aniceto, Joeci Machado Camargo, Espedito Reis do Amaral, Domingos Thadeu Ribeiro da Fonseca, Fabian Schweitzer e Francisco Cardoso de Oliveira.

Detalhes do documento

Documento