Politica Geral de Privacidade e Proteção de Dados Pessoais do PJSC - Ouvidoria - Poder Judiciário de Santa Catarina

RESOLUÇÃO TJ N. 3 DE 5 DE MAIO DE 2021

Institui a Política Geral de Privacidade e Proteção
de Dados Pessoais no âmbito do Poder Judiciário
do Estado de Santa Catarina.

O TRIBUNAL DE JUSTIÇA DO ESTADO DE SANTA CATARINA, POR SEU ÓRGÃO ESPECIAL, considerando o disposto na Lei n. 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais em todo o território nacional; a necessidade de regulamentar no âmbito do Poder Judiciário do Estado de Santa Catarina as diretrizes de proteção de dados pessoais, e de implementar a Lei Geral de Proteção de Dados Pessoais; o fato de que o tratamento de dados pessoais passa por diferentes pessoas nas unidades administrativas e judiciais, bem como por diferentes meios de operação, armazenamento e comunicação; a extensão da proteção da privacidade e dos dados pessoais prevista naquela lei aos meios físicos e digitais; e o exposto no Processo Administrativo n. 0037100-52.2020.8.24.0710,

RESOLVE:

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política Geral de Privacidade e Proteção de Dados Pessoais - PGPPDP, em meios físicos ou digitais, no âmbito do Poder Judiciário do Estado de Santa Catarina - PJSC, como parte integrante de sua estrutura normativa, que seguirá os princípios, as diretrizes e os objetivos compatíveis com os requisitos previstos na legislação brasileira, além de boas práticas e normas internacionalmente aceitas.

§ 1º A política instituída nesta resolução se aplica a qualquer operação de tratamento de dados pessoais realizada pelo PJSC, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.

§ 2º Os magistrados, servidores, colaboradores internos e externos e quaisquer outras pessoas que realizam tratamento de dados pessoais no PJSC se sujeitam às diretrizes, às normas e aos procedimentos previstos nesta resolução e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.

Art. 2º Para os efeitos desta resolução, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em meio físico ou eletrônico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI -controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;

IX - tratamento de dados pessoais: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;

X - agentes de tratamento: o controlador e o operador;

XI - anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre órgãos públicos e privados;

XVII - relatório de impacto na proteção de dados pessoais: documentação do controlador com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e mecanismos de mitigação de risco; e

XVIII - Autoridade Nacional de Proteção de Dados - ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais em todo o território nacional.

Art. 3º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade legítima, específica e explícita, que deverá ser informada ao titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;

II - adequação do tratamento dos dados pessoais, compatível com as finalidades informadas ao titular;

III - necessidade do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos, em relação à finalidade do tratamento dos dados para a qual foram coletados;

IV - garantia, ao titular, de livre acesso, de forma gratuita e facilitada, ao tratamento de seus dados pessoais;

V - garantia, ao titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - garantia, ao titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os respectivos agentes de tratamento;

VII - utilização de medidas técnicas e administrativas de segurança e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - proibição do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; e

IX - responsabilização e prestação de contas dos agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.

Art. 4º O objetivo geral desta resolução é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus titulares no âmbito do PJSC.

Parágrafo único. São objetivos específicos desta resolução:

I - assegurar níveis adequados de proteção aos dados pessoais tratados pelo PJSC;

II - orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;

III - garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e

V - minimizar os riscos de violação de dados pessoais tratados pelo PJSC e qualquer impacto negativo que resulte dessa violação.

Art. 5º São direitos do titular de dados pessoais tratados pelo PJSC:

I - confirmar a existência de tratamento;

II - acessar os dados;

III - corrigir dados incompletos, inexatos ou desatualizados;

IV - solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;

V - requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;

VI - garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses previstas no art. 17 desta resolução;

VII - receber informação sobre o compartilhamento de seus dados pessoais;

VIII - receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;

IX - revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;

X - opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;

XI - solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com o PJSC; e

XII - solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

Parágrafo único. O titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos neste artigo a qualquer tempo, de forma facilitada e gratuita, em requisição expressa e específica, preferencialmente por meio do formulário eletrônico disponível no portal institucional na internet.

CAPÍTULO II
DOS ATORES E DAS RESPONSABILIDADES

Art. 6º O Tribunal de Justiça é o controlador de dados pessoais do PJSC e deverá:

I - manter registro das operações de tratamento de dados pessoais;

II - elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados; e

III - orientar os operadores quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD.

Parágrafo único. O Tribunal de Justiça atuará como cocontrolador quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

Art. 7º O encarregado é responsável por:

I - receber as reclamações e comunicações dos titulares, respondê-las e adotar providências;

II - receber as comunicações da ANPD e adotar as providências necessárias;

III - orientar todos os colaboradores do PJSC sobre as práticas a serem adotadas em relação à proteção de dados pessoais; e

IV - executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares da ANPD.

Art. 8º Quando o Tribunal de Justiça atuar como controlador, o operador será a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional do PJSC que realiza o tratamento de dados pessoais em nome e por ordem do controlador.

Parágrafo único. Os operadores são responsáveis por tratar os dados pessoais de acordo com as instruções estabelecidas pelo controlador, além de manter o devido registro das ações realizadas para o tratamento desses dados.

Art. 9º O Comitê Gestor de Proteção de Dados Pessoais - CGPDP é responsável:

I - pela avaliação dos mecanismos de tratamento e proteção dos dados e pela proposição de ações para seu aperfeiçoamento;

II - pela emissão de orientações sobre boas práticas e governança de dados pessoais; e

III - pelo desempenho das atribuições específicas estabelecidas na Resolução GP n. 28 de 12 de junho de 2019.

Parágrafo único. O CGPDP atuará de forma articulada com o Comitê Gestor de Segurança da Informação e o Núcleo de Inteligência e Segurança Institucional para garantir a segurança e proteção dos dados pessoais e promover boas práticas relacionadas ao tema.

Art. 10. Os magistrados, servidores e demais colaboradores vinculados ao PJSC são responsáveis por:

I - ler e cumprir integralmente os termos desta resolução e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis;

II - comunicar ao encarregado qualquer evento que viole esta resolução ou coloque em risco os dados pessoais tratados pelo PJSC; e

III - responder no âmbito do PJSC pela inobservância da política instituída nesta resolução e das demais normas e procedimentos legais ou regulatórios relacionados ao tratamento de dados pessoais.

Art. 11. O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, nos termos desta resolução e da legislação, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.

CAPÍTULO III
DO TRATAMENTO DE DADOS PESSOAIS

Art. 12. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:

I - mediante o consentimento do titular;

II - para o cumprimento de obrigação legal ou regulatória;

III - para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;

IV - para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;

V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII - para a proteção da vida ou da segurança física do titular ou de terceiro;

VIII - para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender a legítimo interesse do controlador ou de terceiro;

X - para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente; e

XI - para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências do serviço judicial ou cumprir suas atribuições legais.

§ 1º O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima e poderá ser revogado a qualquer momento pelo titular.

§ 2º O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular.

Art. 13. O tratamento de dados sensíveis será realizado com o consentimento do titular ou de seu responsável legal de forma específica e destinado a finalidades específicas.

§ 1º O consentimento de que trata o caput deste artigo será dispensado:

I - nas hipóteses previstas nos incisos II a VIII do art. 12 desta resolução; e

II - nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, para prevenir a fraude e garantir a segurança dos dados pessoais do titular, resguardados todos os direitos de privacidade e de proteção desses dados.

§ 2º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 3º Quando o tratamento de dados pessoais envolver os incisos II e III do art. 12, deverá ser dada publicidade à dispensa de consentimento.

§ 4º É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, exceto se houver regulamentação por parte da ANPD ou nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, nos termos de legislação específica.

Art. 14. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta resolução, salvo quando for revertido o processo de anonimização ao qual foram submetidos.

Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.

Art. 15. O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender a seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal, bem como ser específico quanto à finalidade do tratamento.

Parágrafo único. A informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos de tratamento dos dados pessoais de que trata o caput deste artigo deverá ser mantida pública.

Art. 16. O tratamento de dados pessoais deverá ser finalizado quando:

I - for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;

II - o período de tratamento chegar ao fim;

III - houver pedido de revogação do consentimento feito pelo titular, resguardado o interesse público; ou

IV - por determinação da ANPD, houver violação à Lei n. 13.709, de 14 de agosto de 2018.

Art. 17. Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:

I - cumprimento de obrigação legal ou regulatória;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos legais de tratamento de dados pessoais; ou

IV - uso exclusivo pelo PJSC, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Art. 18. O uso compartilhado de dados pelo PJSC deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.

Parágrafo único. Na prestação dos serviços de sua competência, o PJSC compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.

Art. 19. A transferência internacional de dados pelo PJSC será realizada observando-se a política instituída nesta resolução e os termos da legislação nos seguintes casos, em conjunto ou isoladamente:

I - transferência de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado;

II - comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais, como cláusulas contratuais específicas, cláusulas padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;

III - cooperação jurídica internacional entre órgãos públicos de inteligência para fins de investigação;

IV - proteção da vida ou da incolumidade física do titular ou de terceiro;

V - autorização pela ANPD;

VI - compromisso assumido em acordo de cooperação internacional;

VII - execução de política pública ou de atribuição legal do serviço público;

VIII - mediante consentimento específico e em destaque do titular dos dados pessoais;

IX - cumprimento de obrigação legal ou regulatória;

X - execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e

XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.

Art. 20. São atividades que deverão ser realizadas no tratamento de dados pessoais:

I - garantir ao titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;

II - assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta resolução e com a legislação vigente;

III - comunicar de forma clara o tratamento de dados pessoais ao titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;

IV - quando forem requisitadas, fornecer ao titular explicações sobre o tratamento de seus dados pessoais;

V - limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo titular ou da base legal específica para o tratamento sem o consentimento;

VI - reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança, observado o disposto no art. 17 desta resolução;

VII - bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela legislação;

VIII - fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus titulares;

IX - cientificar os titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;

X - garantir aos titulares o acesso e a revisão de seus dados pessoais por meio da técnica de autenticação de identidade, desde que não haja restrição legal ao acesso ou à revisão;

XI - assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros;

XII - gerenciar eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada;

XIII - adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados; e

XIV - assegurar que a elaboração e a publicação das decisões judiciais e administrativas do PJSC estejam em conformidade com a Lei n. 13.709, de 14 de agosto de 2018, no que se refere à minimização da utilização de dados pessoais.

CAPÍTULO IV
DISPOSIÇÕES FINAIS

Art. 21. As normas complementares de proteção de dados pessoais deverão abranger regras de boas práticas e de governança que estabeleçam os procedimentos e as condições de organização e de funcionamento, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas e o gerenciamento de riscos.

Parágrafo único. Os termos e as condições da política instituída nesta resolução para navegação no site do portal institucional do PJSC deverão ser aprovados pela Presidência do Tribunal de Justiça e disponibilizados de forma ostensiva e acessível.

Art. 22. Aplicam-se às serventias extrajudiciais os termos da política instituída nesta resolução e as disposições da Lei n. 13.709, de 14 de agosto de 2018, sem prejuízo da inclusão de dispositivos específicos no Código de Normas do Foro Extrajudicial, desde que alinhados com esta resolução.

Art. 23. As normas e os procedimentos de segurança da informação deverão ser ajustados para atender aos requisitos estabelecidos na política instituída nesta resolução e na legislação quanto às medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.

Art. 24. As diretrizes estabelecidas nesta resolução não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.

Art. 25. Esta resolução será atualizada periodicamente, quando necessário, ouvido o CGPDP.

Art. 26. Esta resolução entra em vigor na data de sua publicação.

Desembargador Ricardo Roesler
Presidente

*A reprodução total ou parcial do texto, por qualquer meio, não garante a fidedignidade da Política Geral de Privacidade e Proteção de Dados Pessoais do PJSC.

Política Geral de Privacidade e Proteção de Dados Pessoais do PJSC (Resolução TJ n. 3/2021)

Nó: svmlx-liferay-08:8080