Medidas para a Adequação à LGPD em Tribunais PDF
Document Details
Uploaded by Deleted User
Tags
Summary
Este documento descreve medidas para adequar os tribunais à Lei Geral de Proteção de Dados Pessoais (LGPD). As medidas englobam a criação de comissões, a designação de responsáveis, a elaboração de formulários e a implementação de sistemas de segurança específicos para proteção de dados pessoais. Aborda ainda a conscientização sobre a LGPD para magistrados, servidores e outros funcionários.
Full Transcript
Estabelece-se medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) a serem adotadas pelos tribunais do país (primeira e segunda instâncias e Cortes Superiores), à exceção do Supremo Tribunal Federal, para facilitar o processo de implementação no âmbito do sistema jud...
Estabelece-se medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) a serem adotadas pelos tribunais do país (primeira e segunda instâncias e Cortes Superiores), à exceção do Supremo Tribunal Federal, para facilitar o processo de implementação no âmbito do sistema judicial, consistentes em: I -- criar o Comitê Gestor de Proteção de Dados Pessoais (CGPD), que será o responsável pelo processo de implementação da Lei no 13.709/2018 em cada tribunal, com as seguintes características: a\) a composição do referido Comitê deverá ter caráter multidisciplinar eter em vista o porte de cada tribunal; b\) caberá a cada tribunal a decisão de promover a capacitação dos membros do CGPD sobre a LGPD e normas afins, o que poderá ser viabilizado pelas academias ou escolas judiciais das respectivas Cortes de Justiça; II -- designar o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD; III -- formar Grupo de Trabalho Técnico de caráter multidisciplinar para auxiliar nas funções junto ao encarregado pelo GT, composto, entre outros, por servidores da área de tecnologia, segurança da informação e jurídica; IV -- elaborar, por meio de canal do próprio encarregado, ou em parceria com as respectivas ouvidorias dos tribunais: a\) formulário eletrônico ou sistema para atendimento das requisições e/ou reclamações apresentadas por parte dos titulares dos dados pessoais; b\) fluxo para atendimento aos direitos dos titulares (art. 18, 19 e 20 da LGPD), requisições e/ou reclamações apresentadas, desde o seu ingresso até o fornecimento da respectiva resposta; V -- criar um site com informações sobre a aplicação da LGPD aostribunais, incluindo: a\) os requisitos para o tratamento legítimo de dados; b\) as obrigações dos controladores e os direitos dos titulares nos termosdo art. 1o, II, "a" da Recomendação do CNJ no 73/2020; c\) as informações sobre o encarregado (nome, endereço e e-mail paracontato), referidas no art. 41, § 1o, da LGPD; VI -- disponibilizar informação adequada sobre o tratamento de dadospessoais, nos termos do art. 9o da LGPD, por meio de: a\) avisos de cookies no portal institucional de cada tribunal; b\) política de privacidade para navegação na página da instituição; c\) política geral de privacidade e proteção de dados pessoais a seraplicadainternamente no âmbito de cada tribunal e supervisionada pelo CGPD; VII -- zelar para que as ações relacionadas à LGPD sejam cadastradascom os assuntos pertinentes da tabela processual unificada; VIII -- determinar aos serviços extrajudiciais que, sob a supervisão darespetiva Corregedoria-Geral da Justiça, analisem a adequação à LGPD no âmbito desuas atribuições; IX -- organizar programa de conscientização sobre a LGPD, destinado amagistrados, a servidores, a trabalhadores terceirizados, a estagiários e residentesjudiciais, das áreas administrativas e judiciais de primeira e segunda instâncias e CortesSuperiores, à exceção do Supremo Tribunal Federal; X -- revisar os modelos de minutas de contratos e convênios comterceiros já existentes, que autorizem o compartilhamento de dados, bem como elaborarorientações para as contratações futuras, em conformidade com a LGPD, considerandoos seguintes critérios: a\) para uma determinada operação de tratamento de dados pessoais devehaver: 1\. uma respectiva finalidade específica; 2\. em consonância ao interesse público; e 3\. com lastro em regra de competência administrativa aplicável à situaçãoconcreta; b\) o tratamento de dados pessoais previsto no respectivo ato deve ser: 1\. compatível com a finalidade especificada; e 2\. necessário para a sua realização; c\) inclusão de cláusulas de eliminação de dados pessoais nos contratos,convênios e instrumentos congêneres, à luz dos parâmetros da finalidade e danecessidade acima indicados; d\) realizar relatório de impacto de proteção de dados previamente aocontrato ou convênio, com observância do princípio da transparência; XI -- implementar medidas de segurança, técnicas e administrativas aptasa proteger os dados pessoais de acessos não autorizados e de situações acidentais ouilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamentoinadequado ou ilícito, nos termos do art. 46 e seguintes da LGPD, por meio: a\) da elaboração de política de segurança da informação que contenhaplano de resposta a incidentes (art. 48 da LGPD), bem como a previsão de adoção demecanismos de segurança desde a concepção de novos produtos ou serviços (art. 46, §1o); b\) da avaliação dos sistemas e dos bancos de dados, em que houvertratamento de dados pessoais, submetendo tais resultados à apreciação do CGPD para asdevidas deliberações; c\) da avaliação da segurança de integrações de sistemas; d\) da análise da segurança das hipóteses de compartilhamento de dadospessoais com terceiros; XII -- elaborar e manter os registros de tratamentos de dados pessoaiscontendo informações sobre: a\) finalidade do tratamento; b\) base legal; c\) descrição dos titulares; d\) categorias de dados; e\) categorias de destinatários; f\) eventual transferência internacional; e g\) prazo de conservação e medidas de segurança adotadas, nos termos doart. 37 da LGPD; XIII -- informar o CGPD sobre os projetos de automação e inteligênciaartificial.Art. 2o Para o cumprimento do disposto nesta Resolução, recomenda-seque o processo de implementação da LGPD contemple, ao menos, as seguintes ações: I -- realização do mapeamento de todas as atividades de tratamento dedados pessoais por meio de questionário, conforme modelo a ser elaborado pelo CNJ; II-- realização da avaliação das vulnerabilidades (gap assessment) para aanálise das lacunas da instituição em relação à proteção de dados pessoais; eIII-- elaboração de plano de ação (Roadmap), com a previsão de todas asatividades constantes nesta Resolução.