Íntegra da Portaria 6084/PR/2023 - POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS DO TJMG
Institui a Política de Privacidade e Proteção de Dados Pessoais do Tribunal de Justiça do Estado de Minas Gerais.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DE MINAS GERAIS, no uso das atribuições que lhe confere o inciso II do art. 26 do Regimento Interno do Tribunal de Justiça, aprovado pela Resolução do Tribunal Pleno nº 3, de 26 de julho de 2012,
CONSIDERANDO a decisão da Comissão temporária de Proteção de Dados Pessoais do Tribunal de Justiça do Estado de Minas Gerais, designada pela Portaria da Presidência nº 5.734, de 11 de agosto de 2022, que aprovou a Política de Privacidade e Proteção de Dados Pessoais do Tribunal de Justiça do Estado de Minas Gerais, com vistas a implementar as disposições contidas na Lei federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD, e na Resolução do Conselho Nacional de Justiça - CNJ nº 363, de 12 de janeiro de 2021, no TJMG, por meio de seu Programa de Proteção de Dados Pessoais;
CONSIDERANDO o que constou no processo do Sistema Eletrônico de Informações - SEI nº 0560229-60.2022.8.13.0000, RESOLVE:
Art. 1º Fica instituída a Política de Privacidade e Proteção de Dados Pessoais do Tribunal de Justiça do Estado de Minas Gerais - TJMG, no âmbito da Primeira e Segunda Instâncias, que descreve as boas práticas que deverão nortear o tratamento dos dados pessoais por todos os usuários internos do TJMG, no exercício de suas funções, seja em meio físico ou digital, desde a coleta até o término do ciclo do tratamento, e dispõe sobre os seus deveres e responsabilidades, além das condutas a serem adotadas diante de incidentes de segurança da informação.
Art. 2º A Política de Privacidade e Proteção de Dados Pessoais do TJMG, constante do Anexo Único desta Portaria, é de observância obrigatória por todos os usuários internos do TJMG, no âmbito da Primeira e Segunda Instâncias, que deverão pautar sua atuação pelas regras, pelos procedimentos e valores ali descritos, e ficará disponível para consulta e "download" no Portal do TJMG, na aba do Programa de Proteção de Dados Pessoais do TJMG.
Art. 3º Esta Portaria entra em vigor na data de sua publicação. Belo Horizonte, 23 de março de 2023.
Desembargador JOSÉ ARTHUR DE CARVALHO PEREIRA FILHO, Presidente.
Política de Privacidade e Proteção de Dados Pessoais do TJMG
1.Objetivos e a quem se destina
Este documento institui a Política de Privacidade e Proteção de Dados Pessoais no Tribunal de Justiça do Estado de Minas Gerais – TJMG, considerando todos os órgãos administrativos e jurisdicionais da Primeira e Segunda Instâncias. A iniciativa é parte do Programa de Proteção de Dados Pessoais da Instituição.
Cumprindo as determinações da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e da Resolução nº 363/2021, do Conselho Nacional de Justiça – CNJ, bem como os preceitos da Autoridade Nacional de Proteção de Dados – ANPD, esta Política descreve as boas práticas que deverão nortear o tratamento dos dados pessoais por todos os usuários internos do TJMG, no exercício de suas funções, seja em meio físico ou digital, desde a coleta até o término do ciclo do tratamento. Dispõe, ainda, sobre os deveres e as responsabilidades daqueles que tratam os dados pessoais e sobre as condutas a serem adotadas diante de incidentes de segurança da informação.
Estabelece-se como objetivos específicos desta Política:
- assegurar níveis adequados de proteção aos dados pessoais tratados;
- orientar os diversos usuários internos – magistrados, servidores, trabalhadores terceirizados, estagiários, residentes judiciais, bem como fornecedores e prestadores de serviço que têm relação contratual com o TJMG quanto à adoção de medidas técnicas, administrativa e organizacionais adequadas a proteger os dados pessoais custodiados;
- garantir aos titulares de dados pessoais os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural;
- prevenir e tratar incidentes de segurança da informação que possam acarretar violação aos direitos fundamentais dos titulares de dados pessoais.
- As diretrizes estabelecidas nesta Política se aplicam a magistrados, servidores, trabalhadores terceirizados, estagiários e residentes judiciais, bem como a fornecedores e prestadores de serviço que têm relação contratual com o TJMG, quando o exercício de suas atividades envolver o tratamento de dados pessoais.
2.Conceitos
Para os fins desta Política Geral de Privacidade e Proteção de Dados Pessoais, consideram-se:
AGENTES DE TRATAMENTO: o Controlador e o Operador.
ANONIMIZAÇÃO: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD: autarquia federal, de natureza especial, responsável por elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento realizado em descumprimento à legislação; e promover o conhecimento sobre as normas e as políticas públicas sobre proteção de dados pessoais e das medidas de segurança na população.
CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
COCONTROLADOR (CONTROLADOR CONJUNTO): dois ou mais controladores que determinam, de modo conjunto, comum ou convergente, as finalidades e os elementos essenciais para o tratamento dos dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD.
DADO ANONIMIZADO: dado relativo a um indivíduo que não possa ser direta ou indiretamente identificado, pois foram utilizados meios técnicos razoáveis e disponíveis na ocasião do seu tratamento para garantir a desvinculação entre as informações pessoais e o titular do dado.
DADO PESSOAL: informação relacionada à pessoa natural identificada ou identificável, ou seja, dado que permite identificar, direta ou indiretamente, um indivíduo.
DADO PESSOAL SENSÍVEL: dado que revela informação pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como referente à saúde ou à vida sexual, à genética ou à biometria, quando vinculado a uma pessoa natural.
ENCARREGADO: pessoa indicada pelo Controlador para atuar como canal de comunicação entre este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.
INCIDENTE DE SEGURANÇA COM DADOS PESSOAIS: ocorrência de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, relativos a dados pessoais.
OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
ÓRGÃO DE PESQUISA: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no país, que inclua, em sua missão institucional ou em seu objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
PSEUDONONIMIZAÇÃO: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo Controlador em ambiente seguro.
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
TRATAMENTO DE DADOS PESSOAIS: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, ao acesso, à reprodução, transmissão, distribuição, ao processamento, arquivamento, armazenamento, à eliminação, avaliação, manipulação ou ao controle da informação, à modificação, comunicação, transferência, difusão ou extração.
USO COMPARTILHADO DE DADOS: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por entidades e órgãos públicos no cumprimento de suas competências legais, ou entre entes privados, reciprocamente, com autorização específica para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
3.Princípios norteadores
As atividades de tratamento de dados pessoais e de dados pessoais sensíveis, no âmbito do TJMG, deverá sempre observar a boa fé e estar em conformidade com os princípios elencados no art. 6º da LGPD, quais sejam:
- Finalidade: o tratamento deverá ocorrer apenas para finalidades legítimas, específicas, explícitas e informadas ao titular, sendo vedado o tratamento concomitante ou posterior com finalidades distintas das informadas;
- Adequação: o tratamento deverá ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- Necessidade: o tratamento deverá ser limitado ao mínimo necessário para alcançar a finalidade informada ao titular, abrangendo somente os dados pertinentes, proporcionais e não excessivos;
- Livre acesso: garantia, ao titular, de consulta gratuita e facilitada sobre a duração e a forma do processamento, bem como sobre a integralidade dos seus dados pessoais
- Qualidade dos dados: garantia, ao titular, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- Transparência: garantia, ao titular, de prestação de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados pessoais e os respectivos agentes de tratamento;
- Segurança: adoção de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção: utilização de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- Não discriminação: vedação ao tratamento de dados pessoais para quaisquer fins discriminatórios ilícitos ou abusivos;
- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
4. Agentes de tratamento, Encarregado e suas competências
O TJMG aperfeiçoou a estrutura das unidades organizacionais diretamente vinculadas ou subordinadas à Presidência, modernizando a gestão a partir das melhores práticas de governança administrativa, por meio da Resolução do Órgão Especial nº 969/2021, na qual se definiram as atribuições dos agentes de tratamento de dados pessoais e do Encarregado.
Nos termos do referido ato normativo e em consonância com o art. 5º, incisos VI ao IX, e arts. 37 a 41 da LGPD, o tratamento de dados no âmbito do TJMG tem como atores, além do próprio titular, as seguintes figuras:
4.1. Controlador
De acordo com o art. 5º, VI, da LGPD, o Estado de Minas Gerais é o Controlador, em virtude de ser pessoa jurídica de direito público interno. Contudo, as atribuições relativas à atividade jurisdicional, por força da desconcentração administrativa e em decorrência da distribuição de competências, são exercidas pelo TJMG, órgão que integra a administração pública direta estadual.
Nesse sentido, são atribuições do TJMG, no exercício das funções de Controlador:
- orientar os operadores quanto ao tratamento de dados segundo a legislação vigente, as normas regulamentares da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Justiça – CNJ;
- manter registro das operações de tratamento dos dados pessoais que estão sob sua custódia;
- elaborar e manter atualizado o Relatório de Impacto à Proteção de Dados Pessoais – RIPD, inclusive de dados sensíveis, relativamente ao tratamento desses dados
4.2. Cocontrolador (Controlador Conjunto)
O TJMG atuará como Cocontrolador, ou Controlador Conjunto, quando,
por força de lei, regulamento, convênio, contrato ou instrumento jurídico congênere, determinar as finalidades e os meios de tratamento de dados pessoais de maneira conjunta, comum ou convergente com outra pessoa natural ou jurídica, de direito público ou privado.
4.3.Operador
O Operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional do Poder Judiciário do Estado de Minas Gerais, que realiza o tratamento de dados pessoais em nome e por ordem do TJMG.
4.4.Encarregado
No TJMG, as atribuições do Encarregado são exercidas pela Comissão de Proteção de Dados Pessoais – CPDP.
De acordo com a LGPD, a CPDP é responsável por:
- receber as reclamações e comunicações dos titulares, responder a elas e adotar providências;
- receber as comunicações da ANPD e adotar as providências necessárias;
- receber as orientações do CNJ e adotar as providências necessárias;
- orientar todos os usuários internos da Instituição sobre as práticas a serem adotadas em relação à proteção de dados pessoais; e
- executar outras atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.
Contato: encarregado.lgpd@tjmg.jus.br
Ressalte-se que, além do Encarregado (CPDP), o TJMG conta com uma estrutura organizacional para aprimorar a governança dos dados pessoais e a segurança da informação pessoal.
A Secretaria de Governança e Gestão Estratégica – SEGOVE tem o objetivo de facilitar e alinhar o gerenciamento e a execução dos atos administrativos e jurisdicionais, a comunicação entre as áreas operacionais e as diretrizes institucionais. Também compete a ela promover a adoção das melhores práticas de governança para assegurar a assertividade das decisões estratégicas e o funcionamento eficiente de todas as unidades, em prol da efetiva prestação jurisdicional.
O Centro de Governança de Dados e Segurança da Informação Pessoal – CEGINP integra a estrutura da SEGOVE e tem como objetivo o tratamento de dados pessoais, inclusive nos meios digitais, de acordo com as diretrizes e decisões adotadas pelo Tribunal de Justiça, com a finalidade de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A Portaria da Presidência nº 5.534/2022 dispõe sobre as atribuições do CEGINP, dentre as quais se destacam: propor ao Encarregado medidas para a adequação das ações e atividades do TJMG à LGPD; promover ações que visem à disseminação da cultura de proteção dos dados pessoais no âmbito do Tribunal de Justiça; e encaminhar à SEGOVE sugestões para a adoção de boas práticas de governança de dados pessoais e segurança da informação pessoal.
A Coordenação de Tratamento de Dados – COTRAD integra o CEGINP e tem como objetivo apoiar o Controlador, o Encarregado e o Grupo Operacional de Privacidade e Proteção de Dados Pessoais no desenvolvimento de suas atribuições, especialmente na viabilização do mapeamento e na avaliação de vulnerabilidades e ameaças no tratamento de dados pessoais.
5. Direitos dos titulares de dados pessoais
Considerando a função pública desempenhada pelo TJMG, poderá o titular de dados exercer os seguintes direitos previstos no art. 18 da LGPD, mediante requerimento específico:
- confirmação da existência de tratamento dos seus dados;
- acesso aos dados pessoais tratados pela Instituição;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- eliminação dos dados pessoais tratados com o consentimento do titular;
- informação das entidades públicas e privadas com as quais o TJMG realizou o uso compartilhado dos dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento;
- peticionamento em relação aos seus dados contra o TJMG, perante a ANPD;
- oposição ao tratamento de dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;
- revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais e que afetem os interesses do titular dos dados;
- comunicação de possível incidente de segurança com dados pessoais.
Os usuários internos que atuam junto ao TJMG, bem como os fornecedores e prestadores de serviços que têm relação contratual com ele, deverão atuar para que os direitos acima elencados sejam observados e viabilizados, cooperando para o atendimento dos requerimentos feitos pelos titulares de dados.
O TJMG poderá conservar os dados pessoais do titular, mesmo após o término da sua finalidade de tratamento, para:
- cumprimento de obrigação legal ou regulatória;
- realização de estudos por órgão de pesquisa, via anonimização dos dados pessoais, sempre que possível;
- transferência a terceiro, desde que respeitados os requisitos previstos na LGPD; e
- uso exclusivo do TJMG, desde que anonimizados.
Além disso, conforme previsto no art. 23, § 3º, da LGPD, o titular que tenha dados tratados pelo TJMG poderá exercer seu direito com base nos prazos e procedimentos dispostos em legislação específica, notadamente as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data); da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação -LAI).
O requerimento do titular dos dados pessoais ou de seu representante legal deverá ser feito por meio do canal “Fale com o TJMG”.O formulário para requisições do titular de dados pessoais tratados pelo TJMG está disponível em: https://falecomotjmg.tjmg.jus.br./login?url=lgpd.
6.Responsabilidades e deveres
O TJMG desenvolveu o Programa de Proteção de Dados Pessoais com o objetivo de implementar as disposições contidas na LGPD e na Resolução do CNJ nº 363/2021, buscando o aprimoramento das medidas de governança de dados e de segurança da informação.
Para alcançar os objetivos de conformidade, adequação e boas práticas descritos nesta Política, é imprescindível que magistrados, servidores, trabalhadores terceirizados, estagiários e residentes judiciais se envolvam e integrem a cultura de proteção e privacidade de dados pessoais no desempenho de suas funções.
6.1. Responsabilidades e deveres dos usuários internos do TJMG
É responsabilidade de todos os usuários internos do TJMG, no exercício de suas atividades funcionais:
- ler e cumprir integralmente os termos desta Política e as demais normas e procedimentos de proteção dos dados pessoais;
- guardar estrita observância aos princípios e finalidades que orientam o seu tratamento pelo TJMG, ao dever de boa-fé, ao atendimento do interesse público e à preservação do melhor interesse do titular, especialmente quando se tratar de dados pessoais sensíveis e de crianças e adolescentes;
- realizar o tratamento de dados pessoais utilizando o mínimo de informações para o cumprimento das finalidades pretendidas;
- manter o sigilo de todas as informações pessoais a que venham a ter acesso, em decorrência do desempenho de sua função, observando sempre a confidencialidade, a segurança e o cuidado com os dados pessoais custodiados pelo TJMG;
- compartilhar, apenas com autorização específica, informações de processos judiciais e administrativos processuais que contenham dados pessoais, tais como: fotografias em processos judiciais, imagens de documentos, endereços e toda informação que permita a identificação de um indivíduo;
- comunicar ao Encarregado qualquer evento que viole esta Política ou coloque em risco os direitos e liberdades dos titulares de dados pessoais tratados pelo TJMG;
- não compartilhar informações pessoais de acesso (usuário, senha, etc.) com outras pessoas;
- abster-se de usufruir do acesso privilegiado a dados pessoais para alcançar objetivos de ganho pessoal ou quaisquer vantagens próprias;
- participar das ações de conscientização e capacitação disponibilizadas pelo TJMG, a fim de disseminar a cultura da privacidade e proteção de dados pessoais na Instituição;
- responder pela inobservância das disposições desta Política e das demais normas e procedimentos ao tratamento de dados pessoais do TJMG.
A fim de se manterem atualizados quanto às ações do Programa de Proteção de Dados Pessoais do TJMG, os usuários internos deverão acessar o endereço eletrônico https://www.tjmg.jus.br/portal-tjmg/acoes-e- programas/programa-de-protecao-de-dados-pessoais-do-tjmg.htm - .Y- BTLRPMKtQ, podendo acompanhá-las também na “Rede TJMG” (https://rede.tjmg.jus.br/rede-tjmg/), na aba “Ações e Programas”.
6.2. Responsabilidades e deveres de fornecedores e prestadores de serviços
Prestadores de serviços e fornecedores que têm relação contratual com o TJMG deverão, além de guardar sempre a boa fé e os princípios que regem o tratamento de dados pessoais pelo Poder Público:
- observar e cumprir as regras impostas pela Lei federal nº 13.709/2018 (LGPD), suas alterações e regulamentações posteriores, devendo ser observadas, no tratamento de dados, no âmbito do TJMG, a respectiva finalidade específica, a consonância ao interesse público e a competência administrativa aplicável;
- implementar e manter programa de privacidade, proteção e governança de dados pessoais, com definição de controles técnicos, organizacionais e administrativos apropriados para garantir a segurança dos dados pessoais compartilhados pelo TJMG;
- possuir programa de segurança da informação, que inclua medidas físicas, técnicas e organizacionais proporcionais à natureza do dado pessoal tratado e que correspondam aos padrões e às boas práticas capazes de prevenir e mitigar incidentes de segurança da informação;
- implementar medidas técnicas e organizacionais para proteger os dados pessoais custodiados pelo TJMG contra acessos, perdas, alteração, revelação e destruição não autorizados ou acidentais, ou qualquer outra forma de tratamento não autorizada ou ilegal;
- realizar atividades de tratamento de dados pessoais para a finalidade originalmente determinada em negócio jurídico, para atendimento de prescrições legais e regulatórias, especialmente a ANPD;
- garantir que todo o seu pessoal, contratados e subcontratados, sejam periodicamente treinados e conscientizados sobre os aspectos de segurança da informação e proteção de dados pessoais, garantindo, ainda, a obrigação de manter a confidencialidade sobre todas as informações compartilhadas pelo Tribunal;
- garantir toda a assistência necessária para que se cumpram as obrigações perante a LGPD, inclusive no que se refere à resposta a solicitações de titulares de dados no exercício de seus direitos;
- observar estritamente as hipóteses permissivas de transferência internacional de dados pessoais previstas na LGPD e quaisquer disposições contratuais pactuadas entre as partes;
- guardar observância às disposições do artigo 23 e 26 da LGPD, quando for necessário o compartilhamento e tratamento de dados para execução das atividades contratualmente estabelecidas;
- indicar o Encarregado e seu respectivo contato;
- manter os dados pessoais pelo tempo que for necessário para o cumprimento da finalidade para a qual eles foram compartilhados, respeitando também as disposições contratuais estabelecidas entre as partes, ressalvadas as disposições em Lei;
- comunicar ao TJMG, imediatamente e sem qualquer atraso injustificado, a ocorrência de qualquer incidente de segurança com dados pessoais que foram compartilhados pelo TJMG, na forma das disposições contratuais pactuadas entre as partes;
- manter e disponibilizar documentação necessária para demonstrar o cumprimento às obrigações estabelecidas nesta política ou na legislação de proteção de dados aplicável, sendo permitida, ao TJMG, a realização de auditorias limitadas ao escopo do serviço ou aos sistemas contratados, que poderão ser realizadas pelo TJMG ou por empresa contratada;
- observar o Programa de Integridade do TJMG, principalmente no que se refere à Portaria da Presidência nº 4.717/2020, que instituiu a Política de Integridade das Contratações do TJMG.
As obrigações do prestador de serviços ou fornecedor permanecerão enquanto este continuar a ter acesso, estiver na posse ou realizar qualquer tratamento de dados pessoais obtidos em razão da relação contratual com o TJMG, mesmo que todos os contratos entre as partes tenham expirado ou sido rescindidos.
6.3. Responsabilização pela inobservância desta Política
A inobservância aos preceitos e disposições desta Política poderá ensejar a responsabilização cível, criminal e administrativa do colaborador, dos fornecedores e prestadores de serviço, que deverão ater-se às disposições desta Política, bem como às cláusulas contratuais específicas acerca da proteção de dados pessoais.
7.Tratamento de dados pessoais
Nos termos da LGPD e em consonância com a Lei nº 12.527, de 2011 (Lei de Acesso à Informação), o tratamento de dados pessoais no âmbito do TJMG será realizado para o atendimento de sua finalidade pública, com o objetivo de executar e cumprir as competências e atribuições legais que lhe são próprias.
7.1 Bases legais para o tratamento de dados pessoais
São hipóteses que autorizam o tratamento de dados pessoais pelo TJMG:
- cumprimento de obrigação legal ou regulatória;
- execução de políticas públicas, contratos, convênios e instrumentos congêneres, incluindo o tratamento e uso compartilhado de dados;
- realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- execução de contrato ou de procedimentos preliminares;
- exercício regular de direitos, inclusive em contrato e em processo licitatório, judicial, administrativo e arbitral;
- proteção da vida ou da incolumidade física do titular ou de terceiros;
- tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde do quadro de usuários internos do TJMG;
- mediante consentimento do titular;
- atendimento ao legítimo interesse do Controlador ou de terceiros;
- proteção de crédito, inclusive quanto ao disposto na legislação pertinente.
No exercício de suas competências e prerrogativas legais, o TJMG poderá realizar o tratamento de dados pessoais, independentemente de obtenção de consentimento do titular, observando a necessidade de atendimento ao interesse público, que deverá sempre balizar as atividades no âmbito desse órgão.
Sempre que possível, os dados pessoais e dados sensíveis serão submetidos a processo de anonimização, caso em que não se aplicarão as disposições desta Política.
Quando o processo de anonimização puder ser revertido e o titular dos dados puder ser identificado a partir de informações adicionais – configurando a pseudonimização –, serão integralmente aplicadas as disposições desta Política ao tratamento dos referidos dados.
Caso ocorram mudanças na finalidade do tratamento dos dados pessoais, não compatíveis com a base legal anterior, o titular deverá ser informado previamente.
7.2. Bases legais para o tratamento de dados pessoais sensíveis
O tratamento de dados pessoais sensíveis, na execução de atividades no âmbito do Tribunal, deverá se dar mediante informação ao titular acerca da finalidade e da forma do tratamento, bem como mediante o fornecimento de seu consentimento expresso e inequívoco, quando necessário.
Contudo, o consentimento para o tratamento dos dados pessoais sensíveis poderá ser dispensado nas seguintes hipóteses:
- para o cumprimento de obrigação legal ou regulatória pelo TJMG;
- para a execução de políticas públicas previstas em leis ou regulamentos;
- para a realização de estudos, garantida a anonimização dos dados pessoais sensíveis, sempre que possível;
- para o exercício regular de direitos em contrato e em processos judiciais, administrativos e arbitrais;
- para a proteção da vida e a segurança física do titular ou de terceiro;
- para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- para a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da LGPD e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
7.3.Tratamento de dados pessoais de crianças e adolescentes
Conforme interpretação sugerida pela ANPD, o tratamento de dados pessoais de crianças e adolescentes pelo TJMG será realizado de acordo com o art. 14 da LGPD e conforme as bases legais previstas nos arts. 7º e 11 da mesma Lei, observando-se o melhor interesse do titular de dados e o atendimento ao interesse público, características que deverão sempre balizar as atividades no âmbito deste órgão.
As informações sobre o tratamento de dados pessoais de crianças ou adolescentes divulgadas pelo TJMG estarão disponíveis em linguagem simples, clara e acessível, na forma da lei e de acordo com as regras do regime de tramitação sob segredo de justiça.
8.Compartilhamento de dados pessoais
O uso compartilhado de dados pessoais pelo TJMG somente será realizado para atender a finalidades específicas de execução de políticas públicas e a atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da LGPD. O TJMG somente irá transferir dados pessoais a entidades privadas:
- em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observando o disposto na LAI;
- nos casos em que os dados forem acessíveis publicamente;
- quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, observada a devida comunicação à ANPD;
- na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou a proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Ao compartilhar dados pessoais com outras entidades públicas ou privadas, o TJMG o faz sempre com base em propósitos legítimos, específicos e explícitos para o respectivo tratamento, limitando as informações compartilhadas somente àquelas indispensáveis ao atendimento do interesse público.
9. Transferência internacional de dados pessoais
A transferência internacional de dados pessoais ocorrerá apenas quando estritamente necessária a viabilizar o exercício da atividade do TJMG dentro das suas competências jurisdicional e administrativa.
Em conformidade com o art. 33 da LGPD, a transferência internacional de dados pessoais somente será realizada nos seguintes casos:
- para países ou organismos internacionais com grau de proteção de dados pessoais adequado;
- quando o TJMG comprovar, mediante o uso de cláusulas contratuais específicas, cláusulas-padrão contratuais, selos ou certificações regularmente emitidos, que há garantias do cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais brasileiro;
- para cooperação jurídica internacional entre órgãos públicos de inteligência, para fins de investigação;
- para proteção da vida ou da incolumidade física do titular ou de terceiro;
- mediante autorização da ANPD;
- quando resultar de compromisso assumido em acordo de cooperação internacional;
- para execução de política pública ou atribuição legal do serviço público;
- mediante consentimento específico e em destaque do titular dos dados pessoais para a transferência;
- para cumprimento de obrigação legal ou regulatória;
- para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e para exercício regular de direitos em processo judicial, administrativo ou arbitral.
Qualquer que seja a necessidade, a transferência internacional de dados pessoais será realizada com o devido respeito aos requisitos legais e em conformidade com as hipóteses descritas nesta Política e nos termos da legislação vigente.
10. Término do tratamento de dados pessoais
De acordo com a LGPD, o término do tratamento de dados pessoais pelo TJMG ocorrerá nas seguintes hipóteses:
- verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- fim do período de tratamento;
- comunicação do titular, quando for o caso, da revogação do consentimento, resguardado o interesse público; ou
- determinação pela autoridade nacional, quando houver violação à proteção de dados pessoais.
Os dados pessoais serão eliminados pelo TJMG, quando possível, após o término de seu tratamento, no âmbito e nos limites técnicos das atividades. Para isso, os usuários internos responsáveis pela eliminação dos dados pessoais deverão seguir as orientações do Plano de Classificação e Tabela de Temporalidade – PCTT dos processos judiciais e dos documentos administrativos.
A tabela de temporalidade de documentos administrativos (Portaria Conjunta da Presidência nº 898/2018) poderá ser acessada no link: http://www8.tjmg.jus.br/institucional/at/pdf/pc08982019.pdf.
A tabela de temporalidade de processos judiciais (Portaria Conjunta da Presidência nº 521/2016) poderá ser acessada no link: http://www8.tjmg.jus.br/institucional/at/pdf/pc05212016.pdf.
Os casos omissos serão resolvidos pela Comissão Técnica de Avaliação Documental – CTAD e deverão ser encaminhados à Diretoria Executiva de Gestão da Informação Documental – DIRGED.
Após o término do tratamento, o TJMG será autorizado a conservar os dados pessoais para as seguintes finalidades:
- cumprimento de obrigação legal ou regulatória pelo Controlador;
- estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- transferência a terceiros, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
- uso exclusivo do Controlador, vedado seu acesso por terceiros e desde que anonimizados os dados.
11. Capacitação e conscientização
O TJMG possui o compromisso de se manter em constante conformidade com a LGPD, com normativos e guias da ANPD, bem como com a Resolução do CNJ nº 363/2021, alinhado sempre às melhores práticas de privacidade, proteção e governança de dados.
Para alcançar esse objetivo, o TJMG deverá manter programa de conscientização para disseminar a cultura de privacidade e proteção de dados no âmbito do Poder Judiciário do Estado de Minas Gerais.
As campanhas e eventos de conscientização serão destinados a todos os usuários internos das áreas administrativas e judiciais de Primeira e Segunda Instâncias.
O plano de conscientização do TJMG deverá estar alinhado ao objetivo central de possibilitar que o público-alvo:
- compreenda a atual importância dos dados para a sociedade de informação, da qual o TJMG faz parte;
- esteja ciente das diretrizes de privacidade e proteção de dados do TJMG, que estão definidas nas normas e políticas internas;
- acompanhe o desenvolvimento do Programa de Proteção de Dados Pessoais desenvolvido pelo TJMG;
- entenda e aplique, na atividade administrativa e jurisdicional, os conceitos de privacidade e proteção de dados pessoais, com foco na LGPD.
O TJMG também deverá manter programa de capacitação para os usuários internos do Tribunal, que, a depender da função que exerçam, deverão receber treinamento periódico, com conteúdo definido, especialmente sobre:
- enquadramento e conceitos gerais da legislação vigente sobre privacidade e proteção de dados pessoais;
- princípios regulamentares, direitos dos titulares de dados pessoais e requisitos para tratamento, transferências e compartilhamentos de dados pessoais;
- obrigações legais do TJMG, quando atuar como Controlador e Operador de dados pessoais;
- competências do Encarregado de dados e das Autoridades de controle e supervisão;
- Gestão e avaliação de riscos e resposta a incidentes de segurança de dados pessoais;
- aplicação da LGPD e da legislação correlata nas suas atividades funcionais.
12 .Boas práticas no ambiente de trabalho: Mesa Limpa e Tela Limpa
Em complemento às diretrizes da LGPD, o TJMG deverá implementar regras de boas práticas e de governança que estabeleçam as orientações sobre padrões técnicos de privacidade e proteção de dados pessoais, a serem observados pelos usuários internos envolvidos no tratamento de dados pessoais.
Dentro desse contexto, boas práticas são entendidas como um conjunto de ações que têm como objetivo melhorar e fortalecer os controles de segurança da informação, a fim de proteger os dados pessoais tratados pelo TJMG.
Um dos possíveis conjuntos de boas práticas está relacionado à política de Mesa Limpa e Tela Limpa, que, no presente contexto, tem como objetivo evitar acessos não autorizados a dados pessoais e a dados pessoais sensíveis, bem como eventuais perdas ou possíveis danos aos titulares.
Por tal motivo, entre os inúmeros conjuntos de boas práticas existentes, esta Política formaliza e implementa, inicialmente, aquelas voltadas para instituir as diretrizes abaixo apresentadas, que deverão ser seguidas por todos os usuários internos.
Ambiente físico de trabalho:
- Trancar documentos com informações pessoais em local separado e protegidos de acessos indevidos, como gavetas e armários com trancas e/ou salas de arquivo que possuam ferramentas de controle de acesso, limitando o acesso às pessoas que necessitem tratar os dados para desempenhar suas funções.
- Não deixar sobre a mesa ou nos monitores papéis, anotações, lembretes, post-its, certidões, cópias de processos, documentos administrativos e mídias removíveis (pen drives, CDs, HDs externos, etc.) contendo dados pessoais e informações sensíveis.
- Manter agendas, cadernos e pertences pessoais em gavetas fechadas, com trancas, fechaduras e/ou outras ferramentas que restrinjam ou dificultem o acesso de terceiros.
- Manter o crachá de identificação sempre com o titular e em local visível apenas nas dependências do TJMG.
- Não anotar senhas e logins em papéis ou em arquivos digitais de fácil acesso. Memorizá-los ou armazená-los em local seguro, como em gerenciadores de senhas virtuais.
-
Ao utilizar salas de reuniões, auditórios ou qualquer outro ambiente externo, retirar e descartar todos os papéis, apagar as anotações feitas em quadros e descartar a folha do flipchart (bloco de anotação em cavalete), de modo a impossibilitar a identificação das informações.
-
Durante o trabalho, evitar deixar papéis visíveis através de janelas, divisórias ou corredores.
-
Posicionar a tela do dispositivo eletrônico adequadamente (computador desktop, notebook, etc.), de modo a evitar que as informações fiquem visíveis a terceiros não autorizados.
-
Não imprimir documentos desnecessariamente. Optar por lê-los na tela do dispositivo eletrônico, sempre que possível.
-
Ao enviar documentos para impressão, retirá-los da impressora imediatamente.
-
Antes de descartar os documentos, destruí-los completamente, especialmente aqueles que contenham dados pessoais. Informações sensíveis deverão ser destruídas completamente, antes de serem descartadas.
Ambiente digital de trabalho:
- Garantir que o acesso ao dispositivo eletrônico (computador desktop, notebook, etc.), bem como às senhas e aos sistemas utilizados no desempenho das tarefas, seja restrito.
- Manter a área de trabalho do seu dispositivo eletrônico limpa e organizada, arquivando os documentos em pastas devidamente identificadas e realizando backup periódico.
- Bloquear o dispositivo eletrônico manualmente sempre que se ausentar da mesa de trabalho.
- Sempre que disponível, habilitar a ferramenta “confirmação em duas etapas” em todos seus programas ou aplicativos.
- Manter a tela do celular bloqueada.
- Ao utilizar dispositivo eletrônico de terceiros em apresentações, deletar todos os seus arquivos do dispositivo, após a utilização. Lembrar-se também de deletá-los da lixeira do dispositivo eletrônico.
- Desligar o dispositivo eletrônico ao final do dia, certificando-se de desconectar qualquer mídia removível conectada a ele.
Diante da constante necessidade de implementar outros controles de segurança da informação que possam proteger os dados pessoais tratados, o TJMG poderá implementar outras regras de boas práticas e de governança, com ampla divulgação aos usuários internos.
13. Casos omissos
Além das medidas e diretrizes ora estabelecidas, também deverão ser observadas as legislações pertinentes, naquilo que puder complementar esta Política.
Os casos omissos deverão ser encaminhados ao Encarregado do TJMG – a Comissão de Proteção de Dados Pessoais –, para posterior deliberação.
As diretrizes sobre privacidade e proteção de dados pessoais não se esgotam nesta Política ou nas demais normas e procedimentos editados pelo TJMG.
Dessa forma, todos os usuários internos do TJMG deverão estar atentos aos fundamentos e princípios estabelecidos na LGPD ao realizar o tratamento de dados pessoais de responsabilidade da Instituição.
14. Revisões
Os termos desta Política poderão ser revistos periodicamente, a partir da data de sua publicação no Diário do Judiciário Eletrônico, bem como atualizados e alterados por atos normativos complementares.
15. Disposições finais
Se, após a leitura desta Política, restarem quaisquer dúvidas quanto a sua aplicação, o contato poderá ser realizado pelos canais abaixo:
Encarregado (Comissão de Proteção de Dados Pessoais): encarregado.lgpd@tjmg.jus.br. Requisição dos direitos do titular de dados pessoais: https://falecomotjmg.tjmg.jus.br/login?url=lgpd