Brasão

Tribunal Regional Eleitoral - CE

Diretoria-Geral

Assessoria de Acessibilidade, Sustentabilidade, Compliance, Integridade e Riscos

RESOLUÇÃO Nº 892, DE 18 DE JULHO DE 2022

Institui a Política de Tratamento e Proteção de Dados Pessoais no âmbito do Tribunal Regional Eleitoral do Ceará.

O TRIBUNAL REGIONAL ELEITORAL DO CEARÁ, no uso das atribuições conferidas pelo artigo 20, incisos XVIII e XXXV, de seu Regimento Interno, por sua composição plena,

CONSIDERANDO o disposto nos artigos 5º, incisos X e XXXIII, 37, caput, e parágrafo 3º, inciso II, e 216, parágrafo 2º, da Constituição da República Federativa do Brasil, promulgada em 5 de outubro de 1988;

CONSIDERANDO o disposto na Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD); que estabelece que a segurança é um princípio a ser observado na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de distribuição, perda, alteração, comunicação ou difusão;

CONSIDERANDO a regulamentação formulada pelo Conselho Nacional de Justiça (CNJ), por meio da Resolução n.º 363, de 12 de janeiro de 2021, que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais;

CONSIDERANDO a Recomendação CNJ n.º 73, de 20 de agosto de 2020, que recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na (LGPD);

CONSIDERANDO a Resolução TSE nº 23.650/2021, que institui a Política Geral de Privacidade e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução TSE nº 23.644/2021, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria n.º 490, de 31 de julho de 2020, que institui Grupo de Trabalho (GT), objetivando a implementação da Lei Geral de Proteção de Dados (LGPD), no âmbito da Justiça Eleitoral do Ceará,

RESOLVE:

Art. 1º Instituir a Política de Tratamento e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral do Ceará, nos termos desta Resolução, observando as medidas estabelecidas pela Resolução CNJ n.º 363, de 2021.

Art. 2º A Política de Tratamento e Proteção de Dados Pessoais regula a proteção de dados pessoais nas atividades jurisdicionais da Justiça Eleitoral no Ceará e nas suas atividades administrativas, cujas disposições aplicam-se ao relacionamento do Tribunal com as(os) usuárias(os) de seus serviços e com as(os) magistradas(os), servidoras(es), fornecedoras(es) e quaisquer terceiros, garantida a privacidade das(os) titulares.

Parágrafo único. Os dados pessoais coletados e tratados no sítio eletrônico do Tribunal Regional Eleitoral do Ceará são objeto de variante específica da Política de Tratamento e Proteção de Dados Pessoais, ficando a ela subordinada.

Art. 3º O objetivo da Política de que trata esta Resolução é definir e divulgar as regras de tratamento de dados pessoais pelo TRE-CE, em consonância com a legislação específica respectiva, Lei nº 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e legislação correlata, como a Lei n.° 12.965, de 23 de abril de 2014 (Lei do Marco Civil da Internet) e a Lei n.° 12.527, 28 de novembro de 2011 (Lei de Acesso à Informação).

Art. 4º Além de ser subordinada à Lei nº 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), o tratamento de dados pessoais pelo TRE-CE é regido pela legislação pertinente, inclusive as leis regedoras do habeas data, da liberdade de acesso à informação, e dos direitos de privacidade e de intimidade, pela norma técnica NBR ABNT ISO/IEC 29100, por políticas públicas, tais como as de dados abertos e de inclusão digital, e por boas práticas de governança de dados, como aquelas preconizadas no Guia de Boas Práticas para Implementação na Administração Pública Federal, editado em consonância com o Decreto n.º 10.046/2019, e de segurança da informação.

Art. 5º Para os efeitos desta Resolução, ficam estabelecidos os conceitos, os princípios, as diretrizes e os procedimentos, assim como definidos as(os) responsáveis pelas ações de tratamento e proteção de dados pessoais no âmbito do TRE-CE, a fim de garantir a privacidade de suas(seus) titulares, em conformidade com o previsto na Lei Geral de Proteção de Dados Pessoais (LGPD).

CAPÍTULO I

DOS CONCEITOS

Art. 6º Para o disposto nesta Resolução, consideram-se os seguintes conceitos:

I - informação: fonte ou produto de processo de conhecimento, por qualquer meio, formato ou suporte;

II - dado pessoal: informação relativa à pessoa natural identificada ou identificável;

III - dado pessoal sensível: dado pessoal genético ou biométrico ou sobre origem racial ou étnica, saúde, vida sexual, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política;

IV - dado pessoal anonimizado: dado pessoal que não identifica sua(seu) titular, nem permite sua identificação por qualquer meio ou em qualquer formato ou suporte disponíveis na ocasião de seu tratamento;

V - privacidade: esfera privada da vida de pessoa natural;

VI - titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento;

VII - fluxo de tratamento: sequência de ações de manuseio e transmissão de dados pessoais;

VIII - ciclo de vida: conjunto de etapas em que ocorrem ações de tratamento de dados pessoais;

IX - Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão vinculado à Presidência da República, ao qual caberá fiscalizar a aplicação da LGPD e aplicar sanções em caso de descumprimento de suas determinações;

X - controlador: responsável por esta Política e pelo Programa de Tratamento e Proteção de Dados Pessoais, exerce autoridade sobre as ações de tratamento e proteção de dados pessoais e as(os) respectivas(os) responsáveis;

XI - encarregado: responsável pela comunicação entre o TRE-CE, a ANPD e as(os) titulares de dados pessoais e pela orientação das(os) demais responsáveis quanto à aplicação adequada da legislação específica, desta Política e do Programa de Tratamento e Proteção de Dados Pessoais, assim como das boas práticas de tratamento e proteção de dados pessoais;

XII - Comitê Gestor de Proteção de Dados Pessoais (CGPD): responsável pelo processo de implementação desta Política e do Programa de Tratamento e Proteção de Dados Pessoais, coordena a supervisão das ações de tratamento e proteção de dados pessoais;

XIII - gestores de dados pessoais: responsáveis pela supervisão das ações de tratamento e proteção de dados pessoais;

XIV - gestor de segurança de dados pessoais: responsável pela identificação e resposta a situações de vulnerabilidade e incidente de violação nas ações de tratamento e proteção de dados pessoais;

XV - operador: responsável por ação de tratamento e/ou proteção de dados pessoais;

XVI - política: definição de determinado objetivo institucional e dos respectivos conceitos, princípios, diretrizes, procedimentos e responsáveis;

XVII - programa: conjunto articulado de projetos, planos, processos e ações para atingir determinado objetivo institucional, de acordo com a política que o define; e

XVIII - gestão de riscos: processo contínuo e integrado de ações de identificação e avaliação de situação de vulnerabilidade e elaboração e execução de plano de resposta a incidente de violação de políticas e programas.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 7º Toda ação de tratamento e proteção de dados pessoais deve observar os seguintes princípios:

I - boa-fé: convicção de que a ação de tratamento e/ou proteção é realizada em conformidade à legislação de regência, à moralidade administrativa e à ética profissional;

II - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados à(ao) titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

III - adequação: compatibilidade do tratamento com as finalidades informadas à(ao) titular, de acordo com o contexto do tratamento;

IV - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

V - livre acesso: garantia, às(aos) titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

VI - qualidade dos dados: garantia, às(aos) titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VII - transparência: garantia, às(aos) titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; e

VIII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

CAPÍTULO III

DAS DIRETRIZES

Art. 8º Para conformar as ações de tratamento e proteção de dados pessoais no âmbito do TRECE à Lei Geral de Proteção de Dados Pessoais, deverão ser consideradas as seguintes diretrizes:

I - mapeamento de todas as atividades de tratamento de dados pessoais a partir da elaboração do Programa de Tratamento e Proteção de Dados Pessoais, contendo o Inventário de Dados Pessoais, do qual constará, no mínimo, o tipo de dado pessoal, ambiente de tratamento e responsável pelas ações de tratamento e proteção, os respectivos fluxos de tratamento e ciclo de vida; o Relatório de Impacto, do qual constará, no mínimo, o Plano de Gestão de Riscos e o Plano de Resposta a Incidente de Violação; o Plano Geral e, se necessário, Planos Setoriais de Ações;

II - definição de procedimentos que garantam a confiabilidade e a integridade dos dados pessoais em todo seu fluxo de tratamento e durante todo seu ciclo de vida;

III - padronização de informações que envolvam dados pessoais, com a utilização de dados pessoais anonimizados, quando possível;

IV - elaboração de modelos e formulários de termos de ciência de tratamento e proteção e de consentimento para disponibilização de dados pessoais, quando necessário;

V - realização da avaliação de vulnerabilidades para a análise de eventuais lacunas em relação à proteção de dados pessoais; e

VI - adequação dos normativos, documentos e sistemas informatizados à legislação de referência.

CAPÍTULO IV

DOS PROCEDIMENTOS

Art. 9º O TRE-CE divulgará, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu sítio eletrônico e em suas redes sociais, as seguintes informações:

I - a Política e o Programa de Tratamento e Proteção de Dados Pessoais descritas nesta Resolução;

II - descrição das competências do Comitê Gestor de Proteção de Dados Pessoais (CGPD);

III - informações básicas da LGPD, incluindo os requisitos para o tratamento legítimo e a proteção de dados pessoais, as obrigações do controlador e os direitos das(os) titulares, nos termos do art. 1º, II, "a", da Recomendação do CNJ n.º 73, de 2020;

IV - informações alusivas ao nome, endereço eletrônico e número telefônico do encarregado, referidas no art. 41, § 1º da LGPD;

V - formulário eletrônico ou sistema para atendimento das requisições, esclarecimentos e/ou reclamações para o exercício de direitos das(os) titulares de dados pessoais;

VI - política de privacidade para navegação no sítio eletrônico do TRE-CE em relação à LGPD e à Lei nº 12.965/2014 (Marco Civil da Internet), contendo aviso de cookies no portal, quando necessário; e

VII - registros de tratamentos de dados pessoais contemplando, na medida do possível, sem prejuízo de outras, as seguintes informações:

a) tipo de dado pessoal e ambiente de tratamento;

b) finalidade do tratamento;

c) prazo de conservação;

d) base legal;

e) descrição das(os) titulares;

f) categorias de destinatárias(os);

g) transferência internacional, se houver;

h) medidas de segurança adotadas; e

i) gestão de riscos das ações de tratamento e proteção de dados pessoais.

Art. 10 O tratamento de dados pessoais deverá ser realizado durante todo seu ciclo, englobando as seguintes atividades: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Art. 11 As(os) titulares de dados pessoais exercerão seus direitos de acordo com os procedimentos e prazos da LGPD e pelos canais e formas de comunicação disponíveis na Ouvidoria Eleitoral.

CAPÍTULO V

DOS RESPONSÁVEIS

Art. 12 O TRE-CE, representado pela(o) titular ou substituta(o) da Presidência, é o controlador no tratamento de dados pessoais, nos termos de suas competências legal e institucional.

Art. 13 Cabe à Presidência do TRE-CE:

I - designar, por meio de ato próprio, o encarregado, as membras e os membros do Comitê Gestor de Proteção de Dados Pessoais e o gestor de segurança de dados pessoais;

II - aprovar o Programa de Tratamento e Proteção de Dados Pessoais, baseando-se em metodologias e instrumentos de governança, gestão de riscos e segurança da informação, a fim de que os fluxos de tratamento de dados pessoais, durante todo o seu ciclo de vida, sejam permanente e plenamente auditáveis;

III - determinar a realização de ações que visem a instrução das(os) operadores, por meio de realização de iniciativas de tratamento e proteção de dados pessoais, verificando a conformidade dessas ações à legislação de regência e às boas práticas da área, assim como a esta Política e ao respectivo Programa;

IV - revisar e aperfeiçoar esta Política e o Programa de Tratamento e Proteção de Dados Pessoais, quando necessário; e

V - incentivar a disseminação da cultura de proteção de dados pessoais.

Art. 14 A função de encarregado será exercida por pessoa com conhecimento e experiência na legislação de regência e nas boas práticas de tratamento e proteção de dados pessoais e será designada pelo controlador, competindo-lhe, especialmente:

I - receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;

II - prestar as informações solicitadas pelas(os) titulares de dados pessoais, bem como comunicar-lhes a ocorrência e resposta a incidente de violação de privacidade;

III - dar ampla publicidade à Política e ao Programa de Tratamento e Proteção de Dados Pessoais e a instrumentos normativos congêneres, assim como divulgar informações de interesse público sobre o tema;

IV - orientar as(os) demais responsáveis quanto à aplicação adequada da legislação de regência e às boas práticas de tratamento e proteção de dados pessoais; e

V - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Art. 15 O Comitê Gestor de Proteção de Dados Pessoais (CGPD) é subordinado diretamente à Presidência do TRE-CE e será composto pela(o) titular ou substituta(o) da Diretoria-Geral e da Assessoria Jurídica, pelos gestores de dados pessoais, pelo gestor de segurança de dados pessoais e pelo gestor de segurança da informação, competindo-lhe, especialmente:

I - homologar as ações do encarregado, quando necessário;

II - implementar a Política estabelecida por esta Resolução;

III - elaborar e, após a aprovação da Presidência, implementar o Programa de Tratamento e Proteção de Dados Pessoais;

IV - aprovar o Relatório de Impacto, elaborado pelo gestor de segurança de dados pessoais; e

V - coordenar a supervisão das ações de tratamento e proteção de dados pessoais.

§ 1º O encarregado poderá participar, sempre que solicitado, das reuniões e deliberações do Comitê Gestor de Proteção de Dados Pessoais.

§ 2º Quanto ao gestor de segurança da informação, citado no caput deste artigo, observar-se-á o disposto na Política de Segurança da Informação e instrumentos normativos correlatos.

Art. 16 São gestores de dados pessoais as(os) titulares ou substitutas(os) da Secretaria da Corregedoria Regional Eleitoral, Secretaria de Tecnologia da Informação, Secretaria de Finanças, Secretaria de Administração, Secretaria de Gestão de Pessoas, Secretaria Judiciária, da Assessoria de Imprensa e Comunicação Social e da Ouvidoria Eleitoral.

Art. 17 A função de gestor de segurança de dados pessoais será exercida por servidora ou servidor com conhecimento e experiência na área negocial e na legislação de regência, designada(o) por ato específico da Presidência do TRE-CE, competindo-lhe, especialmente:

I - elaborar, com o auxílio dos gestores de dados pessoais, o Relatório de Impacto e submetê-lo ao Comitê Gestor e, após respectiva aprovação, coordenar e supervisionar sua implementação; e

II - executar ou orientar a execução de resposta a incidente de violação.

Art. 18 Os gestores de dados pessoais e o gestor de segurança de dados pessoais apresentarão, periódica e regularmente, relatórios de suas atividades, bem como comunicarão, oportuna e prontamente, qualquer situação de vulnerabilidade ou incidente de violação ao Comitê Gestor de Proteção de Dados Pessoais, que os reportará ao encarregado.

Art. 19 A função de operador poderá ser exercida por servidora ou servidor ou por empresa contratada, nos termos e limites de suas atribuições, competindo-lhe, especialmente:

I - proteger a privacidade dos dados pessoais a que tenham acesso durante sua participação no fluxo de tratamento;

II - limitar a manipulação dos dados pessoais ao mínimo necessário para a consecução da tarefa que lhes cabe; e

III - documentar as operações que efetuarem, narrando suas ações e descrevendo os tipos de dados pessoais e ambientes de tratamento a que tenham acesso.

Parágrafo único. O operador será supervisionado pelo respectivo gestor de dados pessoais e/ou pelo gestor de segurança de dados pessoais.

Art. 20 A ocorrência de incidente de violação será tratada em conformidade com o Plano de Resposta a Incidente de Violação, comunicando-se prontamente ao encarregado e oportunamente à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular.

Parágrafo único. Em caso de dano, as(os) diretamente envolvidas(os) serão responsabilizadas(os) nos termos da legislação vigente.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Art. 21 A Política de Tratamento e Proteção de Dados Pessoais da Justiça Eleitoral do Ceará será revisada e aperfeiçoada permanentemente, quando necessário adequá-la à legislação de regência e às boas práticas da área.

Art. 22 As informações protegidas por sigilo continuam resguardadas pela legislação a elas relacionada.

Art. 23 Os conflitos de interesse serão dirimidos pelo Comitê Gestor de Proteção de Dados Pessoais, com recurso para a Presidência do TRE-CE.

Art. 24 Os casos omissos e as normas complementares a esta Resolução serão resolvidos por ato da Presidência deste Tribunal.

Art. 25 Esta Resolução entra em vigor na data de sua publicação.

Sala das Sessões do Tribunal Regional Eleitoral do Ceará, em Fortaleza, aos 18 dias do mês de julho do ano de 2022.

Desembargador Inacio de Alencar Cortez Neto

PRESIDENTE

Desembargador Raimundo Nonato Silva Santos

VICE-PRESIDENTE

Jurista David Sombra Peixoto

JUIZ

Jurista Kamile Moreira Castro

JUÍZA

Juiz Federal George Marmelstein Lima

JUIZ

Juiz de Direito Raimundo Deusdeth Rodrigues Júnior

JUIZ

Juiz de Direito Roberto Soares Bulcão Coutinho

JUIZ

Procurador da República Samuel Miranda Arruda

PROCURADOR REGIONAL ELEITORAL

Este texto não substitui o publicado no DJE/TRE-CE nº 140 de 19.7.2022, pp. 7-13.