Ato Regulamentar GP Nº 006/2021
ATO REGULAMENTAR GP Nº 006/2021 (*)
3 de agosto de 2021
Institui a Política de Privacidade e Proteção de Dados Pessoais - PPPDP no âmbito do Tribunal Regional do Trabalho da 15ª Região e dá outras providências.
A DESEMBARGADORA PRESIDENTE do TRIBUNAL REGIONAL DO TRABALHO DA 15ª REGIÃO, no uso de suas atribuições legais e regimentais,
CONSIDERANDO o disposto na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), assim como a crescente utilização da internet e de modelos computacionais estruturados para acesso e processamento de dados disponibilizados pelos órgãos do Poder Judiciário;
CONSIDERANDO a Resolução Administrativa nº 4, de 27 de fevereiro de 2019, que institui a Política Institucional de Segurança da Informação (PISI) no âmbito do Tribunal Regional do Trabalho da 15ª Região;
CONSIDERANDO os termos das Resoluções nºs 73, de 20 de agosto de 2020, e 363, de 12 de janeiro de 2021, do Conselho Nacional de Justiça, que estabelecem medidas para adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais;
CONSIDERANDO o teor do Ato Conjunto TST.CSJT.GP nº 46/2020, de 4 de novembro de 2020, que dispõe sobre o exercício das funções de Controlador e Encarregado do tratamento de dados pessoais no âmbito do Tribunal Superior do Trabalho e do Conselho Superior da Justiça do Trabalho;
CONSIDERANDO o teor do Ofício Circular CSJT.GP.SG.SETIC nº 63/2020, 18 de dezembro de 2020, do Conselho Superior da Justiça do Trabalho;
CONSIDERANDO o disposto no Ato Conjunto TST.CSJT.GP nº 4/2021, de 12 de março de 2021, que institui a Política de Privacidade e Proteção de Dados Pessoais no âmbito do Tribunal Superior do Trabalho e do Conselho Superior da Justiça do Trabalho;
CONSIDERANDO os termos da Portaria GP nº 25/2021, de 8 de abril de 2021, que institui o Comitê Gestor de Proteção de Dados Pessoais (CGPD) e o Grupo de Trabalho Técnico no âmbito do Tribunal Regional do Trabalho da 15ª Região;
CONSIDERANDO os termos do Ato Conjunto TST.CSJT.GP nº 27/2021, de 2 de julho de 2021, que altera os artigos 1º, 15 e 18 do Ato Conjunto TST.CSJT.GP nº 4/2021, de 12 de março de 2021;
CONSIDERANDO, por fim, o teor do Processo nº 18234/2020 PROAD, em trâmite neste Regional,
RESOLVE:
Art. 1º Fica instituída no âmbito do Tribunal Regional do Trabalho da 15ª Região a Política de Privacidade e Proteção de Dados Pessoais - PPPDP, que será administrada pelo Comitê Gestor de Proteção de Dados Pessoais (CGPD), com o escopo de estabelecer regras de segurança, de boas práticas e de governança, e procedimentos envolvendo a proteção de dados pessoais.
CAPÍTULO I - DA FINALIDADE
Art. 2º Esta Política regula a proteção de dados pessoais nas atividades jurisdicionais e administrativas do Tribunal Regional do Trabalho da 15ª Região, bem como no relacionamento do Tribunal com magistrados, advogados, membros do Ministério Público, jurisdicionados, servidores, colaboradores, fornecedores e demais usuários.
§ 1º Os dados pessoais coletados e tratados nos sítios eletrônicos e sistemas judiciais e administrativos do Tribunal poderão ser regulados por atos normativos específicos, que deverão ser interpretados de acordo com esta Política.
§ 2º O portal do Tribunal na internet poderá utilizar arquivos (cookies) para registrar e gravar, no computador do usuário, as preferências e as navegações realizadas nas respectivas páginas, para fins estatísticos e de aprimoramento dos serviços, desde que obtido o consentimento do titular.
Art. 3º São objetivos desta Política definir e divulgar as regras de proteção e tratamento de dados pessoais pelo Tribunal, bem como prover diretrizes para a atuação do Comitê Gestor de Proteção de Dados Pessoais.
Parágrafo único. Entende-se por tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Art. 4º A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios de proteção de dados pessoais elencados no art. 6º da LGPD, a saber: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Art. 5º Os termos, expressões e definições utilizados nesta Política são aqueles conceituados na LGPD.
CAPÍTULO II - DO COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS (CGPD)
Art. 6º O Comitê Gestor de Proteção de Dados Pessoais (CGPD) do Tribunal Regional do Trabalho da 15ª Região será composto:
I - pelo(a) Desembargador(a) Presidente ou Desembargador(a) por ele(a) indicado(a), que o coordenará;
II - pelo(a) Desembargador(a) Ouvidor(a);
III - por um(a) Juiz(íza) Auxiliar da Presidência;
IV - por um(a) Juiz(íza) Auxiliar da Corregedoria;
V - pelo(a) Diretor(a)-Geral;
VI - pelo(a) Secretário(a)-Geral Judiciário(a);
VII - pelo(a) Secretário(a)-Geral da Presidência;
VIII - pelo(a) Secretário(a) da Corregedoria;
IX - pelo(a) Assessor(a) de Gestão Estratégica;
X - pelo(a) Secretário(a) de Tecnologia da Informação e Comunicações;
XI- pelo(a) Assessor(a) da Escola Judicial.
Parágrafo único. O(A) Encarregado(a) necessariamente integrará o Comitê Gestor de Proteção de Dados Pessoais, ainda que não elencado(a) entre os integrantes acima relacionados.
Art. 7º Compete ao Comitê Gestor de Proteção de Dados Pessoais (CGPD):
I - coordenar a implementação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) no âmbito do Tribunal, zelando pela observância das recomendações definidas pelos órgãos superiores;
II - supervisionar a aplicação da política geral de privacidade e proteção de dados pessoais;
III - deliberar sobre os conflitos de competência em matéria de proteção de dados no âmbito do Tribunal;
IV - apreciar os resultados das avaliações de sistemas e de bancos de dados no que diz respeito ao tratamento de dados pessoais, apontando as providências necessárias;
V - avaliar os projetos de automação e inteligência artificial, para a adoção das providências cabíveis à proteção de dados pessoais;
VI - organizar o programa de conscientização sobre a LGPD no âmbito do Tribunal.
CAPÍTULO III - DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 8º O Tribunal Regional do Trabalho da 15ª Região é o Controlador dos dados pessoais por ele tratados, sendo representado, no exercício de suas competências legal e institucional, pelo(a) Desembargador(a) Coordenador(a) do Comitê Gestor de Proteção de Dados Pessoais.
§ 1º Compete ao Controlador decidir as questões referentes ao tratamento de dados pessoais, nos termos do art. 5º, VI, da LGPD.
§ 2º O Controlador expedirá normas administrativas e deliberará pedidos relativos à proteção de dados pessoais.
Art. 9º São Operadores as pessoas naturais ou jurídicas, de direito público ou privado, que realizarem operações de tratamento de dados pessoais em nome do Controlador.
Art. 10 O Tribunal poderá requisitar, a qualquer tempo e desde que não seja objeto de sigilo ou proteção legal, informações a respeito do tratamento dos dados pessoais confiados a fornecedor de produtos ou serviços.
Parágrafo único. O fornecedor de produtos ou serviços, ao tratar os dados pessoais a ele confiados pelo contratante, será considerado Operador e deverá aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão os seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais definidas pelo contratante;
II - apresentar evidências e garantias suficientes de que aplica medidas técnicas e administrativas adequadas de segurança para a proteção dos dados pessoais, nos termos definidos na legislação, em normas administrativas do Tribunal e nos instrumentos contratuais;
III - manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de fornecer prova eletrônica a qualquer tempo;
IV - seguir fielmente as diretrizes e as instruções transmitidas pelo respectivo contratante;
V - facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e a segurança de tais dados, devendo a prova do compromisso estar disponível em caráter permanente para exibição ao respectivo contratante, mediante solicitação;
VI - permitir a realização de auditorias, incluindo inspeções pelo respectivo contratante ou por auditor autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo respectivo contratante, de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII - comunicar formalmente e de imediato ao(à) Encarregado(a) a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX - descartar de forma irrecuperável, ou devolver para o contratante, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.
CAPÍTULO IV - DO(A) ENCARREGADO(A) PELO TRATAMENTO DE DADOS PESSOAIS (DATA PROTECTION OFFICER - DPO)
Art. 11 O(A) Encarregado(a) pelo tratamento de dados pessoais será indicado(a) pelo Controlador, na forma do art. 41 da LGPD, devendo a indicação recair, preferencialmente, em Juiz(íza) Auxiliar da Presidência.
Parágrafo único. O(A) Encarregado(a) contará com o apoio efetivo do Grupo de Trabalho Técnico.
Art. 12 Compete ao(à) Encarregado(a):
I - atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
II - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
III - orientar magistrados, servidores e colaboradores do Tribunal a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.
Art. 13 Os pedidos de titulares de dados serão dirigidos à Ouvidoria, por meio de formulário próprio disponibilizado na página do Tribunal na internet, o qual será registrado em sistema eletrônico específico.
§ 1º O solicitante receberá número de protocolo que conterá a data da apresentação do pedido;
§ 2º A Ouvidoria realizará a triagem dos pedidos e, verificando a pertinência temática à proteção de dados, fará o encaminhamento ao(à) Encarregado(a) para análise.
Art. 14 O(A) Encarregado(a) examinará o pedido e o encaminhará ao Controlador, com parecer e proposta fundamentada de solução.
§ 1º O(A) Encarregado(a) devolverá o procedimento à Ouvidoria, para a comunicação ao titular dos dados da solução adotada pelo Controlador.
§ 2º Se o requerimento demandar mero esclarecimento, o(a) Encarregado(a) prestará a informação e devolverá o procedimento diretamente à Ouvidoria, para a remessa da resposta ao solicitante.
§ 3º O Tribunal poderá padronizar modelos de comunicação para utilização pelo(a) Encarregado(a) no atendimento de solicitações ou dúvidas de titulares de dados pessoais e demais procedimentos organizacionais, visando assegurar a celeridade e a racionalização dos atos a serem praticados.
§ 4º O prazo de resposta ao solicitante é de 30 (trinta) dias corridos, admitida a prorrogação.
§ 5º Considerando o prazo previsto no parágrafo anterior, o(a) Encarregado(a) fixará prazo razoável para a apresentação de parecer pelo Grupo de Trabalho Técnico, quando necessário.
CAPÍTULO V - DO GRUPO DE TRABALHO TÉCNICO
Art. 15 O Grupo de Trabalho Técnico, de caráter multidisciplinar, terá a seguinte composição:
I - dois(duas) Desembargadores(as) do Trabalho;
II - um(a) Juiz(íza) Auxiliar da Presidência;
III - Coordenador(a) do Comitê de Segurança da Informação;
IV - um(a) Juiz(íza) Auxiliar da Corregedoria;
V - um(a) Juiz(íza) de Vara do Trabalho;
VI - Diretor(a)-Geral;
VII - Secretário(a)-Geral Judiciário(a);
VIII - Secretário(a)-Geral da Presidência;
IX - Secretário(a) da Corregedoria;
X - Secretário(a) de Tecnologia da Informação e Comunicações;
XI - Assessor(a) da Escola Judicial;
XII - Assessor(a) de Gestão Estratégica;
XIII - Servidor(a) Coordenador(a) do Núcleo de Pesquisa Patrimonial;
XIV - Secretário(a) de Gestão de Pessoas;
XV - Um(a) servidor(a) da Seção de Ouvidoria.
Art. 16 Compete ao Grupo de Trabalho Técnico:
I - oferecer apoio ao Comitê Gestor de Proteção de Dados Pessoais na implementação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) no âmbito do Tribunal;
II - orientar e emitir parecer técnico nos pedidos de titulares dos dados relacionados à proteção de dados, sempre que solicitado pelo(a) Encarregado(a);
III - realizar pesquisas e estudos relacionados à proteção de dados e sugerir medidas para adequação dos procedimentos do Tribunal à LGPD;
IV - sugerir regras de segurança, de boas práticas e de governança, e procedimentos envolvendo a proteção de dados pessoais;
V - acompanhar a execução do plano de ação definido no Tribunal, propondo os ajustes necessários ao Comitê Gestor de Proteção de Dados Pessoais;
VI - alertar o(a) Encarregado(a) quanto à necessidade de tratamento de dados pessoais relativamente a incidentes e outras questões porventura existentes, à luz da estrita observância da legislação vigente.
CAPÍTULO VI - DO TRATAMENTO DE DADOS PESSOAIS
Art. 17 O tratamento de dados pessoais pelo Tribunal deve atender a sua finalidade pública, com o objetivo de executar suas atribuições legais e constitucionais.
Parágrafo único. O Regimento Interno e as demais normas de organização judiciária definem as funções e as atividades que constituem as finalidades e os critérios balizadores do tratamento de dados pessoais para fins desta Política.
Art. 18 O Tribunal Regional do Trabalho da 15ª Região poderá, nas atividades voltadas ao estrito exercício de suas competências legais e constitucionais, proceder ao tratamento de dados pessoais independentemente de consentimento dos titulares.
Parágrafo único. No exercício de atividades administrativas não vinculadas diretamente ao exercício das competências legais e constitucionais, o Tribunal deverá obter o consentimento dos titulares para tratar dos seus respectivos dados pessoais.
Art. 19 Os contratos firmados pelo Tribunal com terceiros, para o fornecimento de produtos ou a prestação de serviços necessários às suas operações, poderão, diante de suas particularidades, ser regidos por disciplina própria de proteção de dados pessoais, a qual estará disponível para consulta.
Art. 20 Os dados pessoais tratados pelo Tribunal são:
I - protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou face a solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e os períodos da tabela de prazos de retenção de dados;
III - compartilhados somente para o exercício das atividades voltadas ao estrito exercício de suas competências legais e constitucionais, ou para atendimento de políticas públicas aplicáveis;
IV - revistos em periodicidade mínima anual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.
Art. 21 A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara, simples, concisa, transparente, inteligível e acessível, na forma da lei e de acordo com as regras do regime de tramitação sob segredo de justiça.
Art. 22 A responsabilidade do Tribunal pelo tratamento de dados pessoais estará circunscrita aos deveres decorrentes do exercício de suas atribuições legais e institucionais e do emprego de boas práticas de governança e de segurança da informação.
Art. 23 O Tribunal zelará para que o titular do dado pessoal usufrua os direitos assegurados pela LGPD e pela legislação e regulamentação correlatas, informando adequadamente os procedimentos necessários à sua fruição nos respectivos sítios eletrônicos e materiais de divulgação específicos.
CAPÍTULO VII - DA SEGURANÇA E BOAS PRÁTICAS
Art. 24 O Tribunal Regional do Trabalho da 15ª Região dispõe de Política de Segurança da Informação que especifica e determina a adoção de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados, situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Art. 25 O Tribunal adotará boas práticas de governança voltadas a orientar comportamentos adequados e a mitigar os riscos de comprometimento de dados pessoais.
Art. 26 O(A) Encarregado(a) e o Comitê Gestor de Proteção de Dados Pessoais deverão manter a direção do Tribunal informada a respeito de aspectos e fatos significativos e de interesse institucional.
Art. 27 A Política de Privacidade e Proteção de Dados Pessoais deve ser revista em intervalos planejados não superiores a 24 (vinte e quatro) meses, a partir da data de sua publicação, ou ante a ocorrência de alguma das seguintes condições:
I - edição ou alteração de leis ou regulamentos relevantes;
II - alteração de diretrizes estratégicas pelo Tribunal Regional do Trabalho da 15ª Região, pelo Tribunal Superior do Trabalho, pelo Conselho Superior da Justiça do Trabalho ou pelo Conselho Nacional de Justiça;
III - expiração da data de validade do documento, se aplicável;
IV - mudanças significativas na arquitetura de tecnologia da informação e comunicação;
V - análises de risco em Relatório de Impacto de Proteção de Dados Pessoais que indique a necessidade de modificação na Política para readequação da organização, visando prevenir ou mitigar riscos relevantes.
Art. 28 O processo de análise para determinar adequação, suficiência e eficácia dos documentos da Política de Proteção de Dados Pessoais deve ser formalizado com o registro de diagnósticos e sugestões, assim como das aprovações respectivas.
CAPÍTULO VIII - DA PROTEÇÃO DE DADOS PESSOAIS DE MAGISTRADOS, DE SERVIDORES E DE COLABORADORES
Art. 29 A proteção de dados pessoais de magistrados, de servidores e de colaboradores deverá observar as determinações fixadas pelo Conselho Nacional de Justiça, pelo Conselho Superior da Justiça do Trabalho e pela Autoridade Nacional de Proteção de Dados, na forma da LGPD e da legislação e regulamentação correlatas.
CAPÍTULO IX - DA FISCALIZAÇÃO
Art. 30 O Comitê Gestor de Proteção de Dados Pessoais deverá definir os procedimentos e os mecanismos de fiscalização do cumprimento desta Política.
Art. 31 O Tribunal deverá cooperar com fiscalizações promovidas por terceiros legitimamente interessados, desde que sejam observadas as seguintes condições:
I - seja informado em tempo hábil;
II - tenha motivação objetiva e razoável;
III - não afete a proteção de dados pessoais não abrangidos pelo propósito da fiscalização;
IV - não causem impacto, dano ou interrupção nos equipamentos, pessoal ou atividades do Tribunal.
Parágrafo único. A inobservância da presente Política de Proteção de Dados Pessoais acarretará a apuração das responsabilidades penal, civil e administrativa, previstas nas normas internas do Tribunal e na legislação em vigor.
CAPÍTULO X - DAS DISPOSIÇÕES FINAIS
Art. 32 Os casos omissos serão resolvidos pela Presidência do Tribunal.
Art. 33 Este Ato entra em vigor na data de sua publicação.
(a)ANA AMARYLIS VIVACQUA DE OLIVEIRA GULLA
Desembargadora Presidente do Tribunal
* Republicado por erro material