RESOLUÇÃO
Nº TRF2-RSP-2022/00031, DE 1 DE ABRIL DE 2022
Institui
a Política Geral de Privacidade e Proteção de
Dados Pessoais no âmbito da Justiça Federal da 2ª
Região.
O
PRESIDENTE TRIBUNAL REGIONAL FEDERAL DA 2ª REGIÃO (TRF2),
no uso de suas atribuições legais e regimentais,
CONSIDERANDO
o disposto nos incisos X e XII do art. 5°. da Constituição
da República, que protegem o direito à privacidade;
CONSIDERANDO
a entrada em vigor da Lei n°. 13.709/2018 – Lei Geral de
Proteção de Dados Pessoais - LGPD;
CONSIDERANDO
a Recomendação n°. 73, de 20/08/2020, que recomenda
aos órgãos do Poder Judiciário brasileiro a
adoção de medidas preparatórias e ações
iniciais para adequação às disposições
contidas na Lei Geral de Proteção de Dados Pessoais;
CONSIDERANDO
a edição da Resolução n°. 363, de
12/01/2021, do Conselho Nacional de Justiça, que estabelece
medidas para o processo de adequação à Lei Geral
de Proteção de Dados Pessoais a serem adotadas pelos
tribunais;
RESOLVE, ad
referendum do Órgão Especial:
Art.
1°. Instituir, no âmbito da Justiça Federal da 2ª
Região, a Política Geral de Privacidade e Proteção
de Dados Pessoais (PPDP), nos termos a seguir.
CAPÍTULO
I
DAS
DISPOSIÇÕES GERAIS
Art.
2°. A presente Política de Privacidade e Proteção
de Dados Pessoais estabelece diretrizes e princípios que devem
nortear o tratamento de dados pessoais nas atividades jurisdicionais
e administrativas no âmbito da Justiça Federal da 2ª
Região, em conformidade com a Lei Federal 13.709, de 14 de
agosto de 2018 (Lei Geral de Proteção de Dados Pessoais
(LGPD).
Art.
3°. São objetivos específicos desta política:
I
- assegurar níveis adequados de proteção aos
dados pessoais tratados pela Justiça Federal da 2ª
Região, registrados em meios físicos ou digitais;
II
- orientar quanto à adoção de procedimentos
técnicos e administrativos para atendimento dos requisitos de
proteção de dados pessoais;
III
- garantir aos titulares de dados pessoais os direitos à
privacidade e à autodeterminação informativa;
IV
- prevenir possíveis causas de violações de
dados pessoais e incidentes de segurança da informação
relacionados ao tratamento de dados pessoais, minimizando os riscos e
qualquer impacto negativo que resulte desta violação.
Art.
4°. Os magistrados, servidores, colaboradores internos e externos
e quaisquer outras pessoas que realizem tratamento de dados pessoais
na Justiça Federal da 2ª Região se sujeitam às
diretrizes, princípios e procedimentos previstos nesta
resolução. Todos que tratam dados pessoais são
responsáveis por sua proteção, incluindo o
titular.
CAPÍTULO
II
DOS
CONCEITOS E PRINCÍPIOS
Art.
5°. Para os efeitos desta política, considera-se:
I
- dado pessoal: informação relacionada a pessoa natural
identificada ou identificável, ou seja, qualquer informação
que permita identificar, direta ou indiretamente, um indivíduo;
II
- dado pessoal sensível: dado pessoal sobre origem racial ou
étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa
natural;
III
- dado anonimizado: dado relativo a um indivíduo que não
possa ser identificado, pois passou por algum meio técnico de
tratamento para garantir sua desvinculação, direta ou
indireta, a uma pessoa;
IV
- banco de dados: conjunto estruturado de dados pessoais,
estabelecido em meio físico ou eletrônico;
V
- titular: pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento;
VI
- agentes de tratamento: o controlador e o operador;
VII
- anonimização: utilização de meios
técnicos razoáveis que impossibilitem que um dado seja
associado, direta ou indiretamente, a um indivíduo;
e
VIII - relatório de impacto na proteção de dados
pessoais: documentação do controlador com a descrição
dos processos de tratamento de dados pessoais que podem gerar riscos
às liberdades civis e aos direitos fundamentais, bem como das
medidas e mecanismos de mitigação de risco.
Art.
6°. A aplicação desta política deverá,
além da boa fé, ser pautada nos princípios,
previstos no art. 6°. da LGPD, assim previstos:
I
- finalidade: realização do tratamento para propósitos
legítimos, específicos, explícitos e informados
ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades;
II
- adequação: compatibilidade do tratamento com as
finalidades informadas ao titular, de acordo com o contexto do
tratamento;
III
- necessidade: limitação do tratamento ao mínimo
necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às
finalidades do tratamento de dados;
IV
- livre acesso: garantia, aos titulares, de consulta facilitada e
gratuita sobre a forma e a duração do tratamento, bem
como sobre a integralidade de seus dados pessoais;
V
- qualidade dos dados: garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados, de
acordo com a necessidade e para o cumprimento da finalidade de seu
tratamento;
VI
- transparência: garantia, aos titulares, de informações
claras, precisas e facilmente acessíveis sobre a realização
do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial;
VII
- segurança: utilização de medidas técnicas
e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração,
comunicação ou difusão;
VIII
- prevenção: adoção de medidas para
prevenir a ocorrência de danos em virtude do tratamento de
dados pessoais;
IX
- não discriminação: impossibilidade de
realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
e
X - responsabilização e prestação de
contas: demonstração, pelo agente, da adoção
de medidas eficazes e capazes de comprovar a observância e o
cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas.
CAPÍTULO
III
DOS
AGENTES DE TRATAMENTO E DO ENCARREGADO
Art.
7°. O Tribunal Regional Federal da 2ª Região (TRF2),
representado por seu Presidente, é o controlador de dados
pessoais da Justiça Federal da 2ª Região.
Art.
8°. Cabe ao controlador, entre outras atribuições:
I
- decidir sobre o tratamento de dados pessoais no âmbito da
Justiça Federal da 2ª Região e manter registro das
operações de tratamento;
II
- aprovar o relatório de impacto na proteção de
dados pessoais, inclusive dados sensíveis;
III
- fornecer instruções aos operadores quanto ao
tratamento de dados segundo instruções internas, da
legislação vigente e das regulamentações
da Autoridade Nacional de Proteção de Dados (ANPD);
IV
- aprovar a política de privacidade para navegação
na página institucional;
e
V - aprovar a Política Geral de Privacidade de Proteção
de Dados Pessoais. Parágrafo único. O Tribunal Regional
Federal da 2ª Região atuará como cocontrolador
nas hipóteses em que, por força de lei, convênio
ou contrato, determinar o tratamento de dados pessoais em conjunto
com outro controlador.
Art.
9°. O operador é a pessoa natural ou jurídica, de
direito público ou privado, externa ao quadro funcional das
entidades da Justiça Federal da 2ª Região, que
realiza o tratamento de dados pessoais em nome e por ordem do
controlador.
Art.
10. Os operadores são responsáveis por tratar os dados
pessoais de acordo com as instruções estabelecidas pelo
controlador, além de manter o devido registro das ações
realizadas para o tratamento dos dados.
Art.
11. O encarregado é a pessoa indicada pelo controlador para
atuar como canal de comunicação entre este, os
titulares dos dados e a Autoridade Nacional de Proteção
de Dados, e sua identidade e informações de contato
deverão ser divulgadas no portal institucional da Justiça
Federal da 2ª Região.
Art.
12. O encarregado tem o auxílio do Comitê Gestor de
Proteção de Dados Pessoais (COGEPD) para o adequado
desempenho de suas funções, sendo responsável
também por:
I
- receber as reclamações e comunicações
dos titulares, responder e adotar providências;
II
- receber as comunicações da ANPD e adotar as
providências necessárias;
III
- orientar todos os colaboradores da instituição sobre
as práticas a serem tomadas em relação à
proteção de dados pessoais;
e
IV - executar outras atribuições determinadas pelo
controlador ou estabelecidas em normas complementares da ANPD.
Art.
13. A Justiça Federal da 2ª Região poderá
padronizar modelos de comunicação para utilização
pelo encarregado no atendimento de solicitações,
dúvidas de titulares de dados pessoais e demais procedimentos
organizacionais, visando a assegurar a celeridade necessária
para cumprimento de prazos legais de atendimento.
CAPÍTULO
IV
DO
TRATAMENTO DE DADOS PESSOAIS
Art.
14. Tratamento de dados pessoais é toda operação
exercida sobre dados pessoais, compreendendo a coleta, a produção,
a recepção, a classificação, a
utilização, o acesso, a reprodução, a
transmissão, a distribuição, o processamento, o
arquivamento, o armazenamento, a eliminação, a
avaliação ou o controle da informação, a
modificação, a comunicação, a
transferência, a difusão ou a extração.
Art.
15. O tratamento de dados pessoais na Justiça Federal da 2ª
Região poderá ser realizado de acordo com o
consentimento do usuário e nas hipóteses legais de
dispensa de consentimento.
§
1°. Considera-se consentimento, nos termos do art. 5°. da
LGPD, a manifestação livre, informada e inequívoca
pela qual o titular concorda com o tratamento de seus dados pessoais
para uma finalidade determinada.
§
2°. Fica dispensado o consentimento pelos respectivos titulares,
nos termos da LGPD, nas seguintes hipóteses:
I
- para o cumprimento de obrigação legal ou regulatória;
II
- para a execução de políticas públicas;
III
- para a realização de estudos por órgão
de pesquisa, assegurada a anonimização dos dados
pessoais sempre que possível;
IV
- quando necessário para a execução de contrato
ou de procedimentos preliminares relacionados a contrato do qual seja
parte o titular, a pedido do titular dos dados;
V
- no exercício regular de direitos em contrato, processos
judiciais, administrativos e arbitrais;
VI
- para a proteção da vida e integridade física
do titular ou de terceiros;
VII
- para a tutela da saúde em procedimento realizado por
profissionais de saúde ou autoridade sanitária;
VIII
- quando necessário para atender ao legítimo interesse
do controlador ou de terceiros;
e
IX - para a proteção do crédito.
§
3°. Inclui-se nas hipóteses de dispensa de consentimento,
previstas no § 2°., o tratamento em processos de
identificação e autenticação de cadastro
em sistemas eletrônicos, para prevenir a fraude e garantir a
segurança dos dados pessoais do titular, preservado seu
direito de proteção desses dados.
Art.
16. O legítimo interesse do controlador poderá
fundamentar tratamento de dados pessoais para finalidades legítimas,
a partir de situações concretas, que incluem, mas não
se limitam a apoio e promoção de atividades e proteção,
em relação ao titular, do exercício regular de
seus direitos ou prestação de serviços que o
beneficiem, respeitados direitos e liberdades fundamentais.
Art.
17. A Justiça Federal da 2ª Região poderá
manter contratações com terceiros para o fornecimento
de produtos ou a prestação de serviços
necessários a suas operações. Os contratos
poderão, conforme o caso, sem prejuízo da transparência
imposta pela legislação vigente, importar em disciplina
própria de proteção de dados pessoais, a qual
deverá estar disponível para consulta por interessados.
Art.
18. Os dados somente serão acessados por pessoas autorizadas e
capacitadas para lhes conferir o tratamento adequado. Parágrafo
único. Os dados anonimizados não serão
considerados dados pessoais para os fins da LGPD e das diretrizes
desta resolução, salvo quando for revertido o processo
de anonimização ao qual foram submetidos.
Art.
19. O portal Institucional da Justiça Federal da 2ª
Região obedecerá ao disposto na política de
privacidade para navegação na página
institucional.
CAPÍTULO
V
DO
COMPARTILHAMENTO DE DADOS PESSOAIS
Art.
20. A Justiça Federal da 2ª Região pode realizar o
compartilhamento dos dados pessoais com terceiros quando destinados à
execução de políticas públicas e na
prestação dos serviços de sua competência,
respeitados os princípios de proteção de dados
pessoais.
Parágrafo
único. O controlador deve manter o registro do
compartilhamento dos dados pessoais para o atendimento ao previsto no
inciso VII do art. 18 da LGPD.
CAPÍTULO
VI
DO
TRATAMENTO DE DADOS SENSÍVEIS
Art.
21. O tratamento de dados pessoais sensíveis na Justiça
Federal da 2ª Região poderá ser realizado de
acordo com o consentimento do titular ou de seu responsável
legal e nas hipóteses legais de dispensa de consentimento.
§
1°. O consentimento, para fins de tratamento de dados sensíveis,
nos termos do inc. I, art. 11 da LGPD, deverá ocorrer de forma
específica e destacada, para finalidades específicas.
§
2°. O consentimento é dispensado nas hipóteses
previstas no inc. II do art. 11 da LGPD.
§
3°. Nos casos da dispensa do consentimento para que a Justiça
Federal da 2ª Região cumpra obrigação legal
ou execute políticas públicas de sua competência,
será dada publicidade à referida dispensa, nos termos
do § 2°. do art. 11 da LGPD.
CAPÍTULO
VII
DO
TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES
Art.
22. O tratamento de dados pessoais de crianças e de
adolescentes na Justiça Federal da 2ª Região
deverá ser realizado em seu melhor interesse, exigindo-se o
consentimento em destaque de um dos pais ou responsável legal,
bem como específico quanto à finalidade do tratamento.
Parágrafo
único. A informação sobre o tratamento de dados
pessoais referentes a crianças ou adolescentes deverá
estar disponível em linguagem clara e simples, com concisão,
transparência, inteligibilidade e acessibilidade, na forma do §
6°. do art. 14 da LGPD.
CAPÍTULO
VIII
DO
TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS
Art.
23. O término do tratamento de dados pessoais pela Justiça
Federal da 2ª Região ocorrerá nas seguintes
hipóteses:
I
- verificação de que a finalidade foi alcançada
ou de que os dados deixaram de ser necessários ou pertinentes
ao alcance da finalidade específica almejada;
II
- fim do período de tratamento;
III
- comunicação do titular quanto à revogação
do consentimento, resguardado o interesse público;
e
IV - determinação pela autoridade nacional, quando
houver violação à LGPD.
Art.
24. Os dados pessoais serão eliminados após o término
de seu tratamento, autorizada a conservação nas
seguintes situações:
I
- cumprimento de obrigação legal ou regulatória;
II
- estudo por órgão de pesquisa, garantida, sempre que
possível, a anonimização dos dados pessoais;
III
- transferência a terceiro, desde que respeitados os requisitos
de tratamento de dados pessoais;
ou
IV - uso exclusivo da Justiça Federal da 2ª Região,
vedado seu acesso por terceiro, e desde que anonimizados os dados.
CAPÍTULO
IX
DOS
DIREITOS DOS TITULARES DOS DADOS PESSOAIS
Art.
25. O titular, cujos dados são tratados pela Justiça
Federal da 2ª Região, tem direito de obter, a qualquer
tempo e por meio de requisição específica e
gratuita:
I
– confirmação de existência, revisão
e retificação dos seus dados;
II
- acesso aos dados;
III
- detalhamento sobre a origem ou o compartilhamento com terceiros;
IV
- anonimização, bloqueio ou eliminação de
dados desnecessários, excessivos ou tratados em
desconformidade com a LGPD e com esta Resolução;
V
- portabilidade de seus dados pessoais a outro órgão
público;
VI
- eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses previstas no
art. 24 desta Resolução;
e
VII -revogação do consentimento a qualquer momento,
mediante manifestação expressa, preservados os
tratamentos realizados anteriormente, e recebimento de informações
sobre a possibilidade e consequências de não fornecer o
consentimento.
§
1°. Considera-se bloqueio a suspensão temporária de
qualquer operação de tratamento, mediante guarda do
dado pessoal ou do banco de dados.
§
2°. Ocorre a eliminação de dados quando há a
exclusão de dado ou de conjunto de dados armazenados em banco
de dados, independentemente do procedimento empregado.
§
3°. Será disponibilizado no portal da Justiça
Federal da 2ª Região formulário específico
para requisição de informações e
exercício dos direitos pelos titulares.
CAPÍTULO
X
DA
TRANSFERÊNCIA INTERNACIONAL DE DADOS
Art.
26. A transferência internacional de dados pessoais ocorre para
país estrangeiro ou organismo internacional do qual o Brasil
seja membro.
Parágrafo
único. Considerando a prestação do serviço
administrativo ou judicial, a transferência internacional de
dados pessoais pode ser realizada pela Justiça Federal da 2ª
Região observando-se a política instituída nesta
resolução e nos termos da LGPD e somente será
permitida nos casos previstos no art. 33 da referida Lei.
CAPÍTULO
XI
DISPOSIÇÕES
FINAIS
Art.
27. Cada entidade que compõe a Justiça Federal da 2ª
Região deverá ajustar os procedimentos de segurança
da informação para atender à esta política
e à legislação, dispondo de medidas técnicas
e administrativas contra acessos não autorizados e situações
acidentais ou incidentes culposos ou dolosos de destruição,
perda, adulteração, compartilhamento indevido ou
qualquer forma de tratamento de dados pessoais inadequado ou ilícito.
Art.
28. Os padrões de boas práticas e de governança
deverão ser objeto de campanhas informativas na esfera interna
e nos portais institucionais, visando disseminar cultura protetiva,
com conscientização e sensibilização dos
interessados.
Art.
29. Esta política será atualizada permanentemente,
consultado o Comitê Gestor de Proteção de Dados
Pessoais – COGEPD.
§
1°. Independentemente da revisão ou atualização
desta política, deverá ser elaborado, periodicamente,
Relatório de Impacto de Proteção de Dados
Pessoais, identificando vulnerabilidades e propondo Planos de Ação.
§
2°. Os casos omissos serão avaliados pelo presidente do
Tribunal Regional Federal da 2ª Região.
Art.
30. Esta Resolução entra em vigor na data de sua
publicação.
PUBLIQUE-SE.
REGISTRE-SE. CUMPRA-SE.
MESSOD
AZULAY NETO
Presidente
Este documento é parte do caderno administrativo do TRF do diário publicado em 06/04/2022. O caderno do diário eletrônico é assinado digitalmente conforme MP nº 2.200-2/2001 de 24/08/2001, que instituiu a infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil, por MARIA ALICE GONZALEZ RODRIGUEZ:10382, Nº de Série do Certificado 4630009453394063801, em 05/04/2022 às 12:53:52.