Este texto foi publicado no Jus no endereço https://jus.com.br/artigos/87452
Para ver outras publicações como esta, acesse https://jus.com.br

A regulamentação da proteção de dados pessoais pelo Conselho Nacional de Justiça

A regulamentação da proteção de dados pessoais pelo Conselho Nacional de Justiça

Publicado em . Elaborado em .

Apresentam-se as medidas para a adequação dos tribunais brasileiros à LGPD, à luz das regulamentações expedidas pelo CNJ.

A partir da entrada em vigor da maior parte da LGPD, em 18 de setembro de 2020, o Judiciário passou a regulamentar a sua aplicação nas atividades internas (administrativas e judiciárias), o que também levou o Conselho Nacional de Justiça a uniformizar a matéria.

Em primeiro lugar, no dia 24 de agosto de 2020, foi publicada a Recomendação nº 73/2020 do Conselho Nacional de Justiça, que contém orientações para todos os tribunais do país (exceto para o STF) sobre a adoção de medidas preparatórias para a adequação do Judiciário à LGPD.

Em 21 de setembro, o CNJ publicou a Resolução nº 334/2020, que instituiu o Comitê Consultivo de Dados Abertos e Proteção de Dados no âmbito do Poder Judiciário.

Mais recentemente, em 15 de dezembro de 2020, o CNJ aprovou uma Resolução que contém as medidas necessárias para o processo de adequação à Lei Geral de Proteção de Dados Pessoais, a ser adotadas pelos tribunais do país (com exceção do Supremo Tribunal Federal).

A Resolução aprovada pelo Conselho Nacional de Justiça, no dia 15 de dezembro de 2020, define treze medidas, em seu art. 1º, para serem adotadas em todos os tribunais do país (com exceção do STF), com o objetivo de permitir a adequação à LGPD:

(a) a criação do Comitê Gestor de Proteção de Dados Pessoais (CGPD) em cada tribunal, com caráter multidisciplinar, que será o órgão responsável pelo processo de implantação da LGPD (na primeira e segunda instâncias, além dos tribunais superiores);

(b) a designação do encarregado pelo tratamento de dados pessoais;

(c) a formação de um Grupo de Trabalho Técnico, com caráter multidisciplinar (composto por servidores das áreas de tecnologia, segurança da informação e jurídica, entre outras), para auxiliar o encarregado no desempenho de suas funções;

(d) a elaboração, por meio de canal do encarregado (ou em parceria com a ouvidoria do tribunal): (d.1) de um formulário eletrônico ou de um sistema para atendimento das requisições e/ou reclamações apresentadas pelos titulares dos dados pessoais; (d.2) e de um fluxo para atendimento aos direitos dos titulares, da apresentação das requisições e/ou reclamações até a prestação da resposta;

(e) a criação de uma seção dentro do site do tribunal contendo informações sobre a aplicação da LGPD na Corte, que deve conter em seu conteúdo mínimo: (e.1) as bases legais utilizadas para o tratamento de dados pessoais; (e.2) os deveres dos controladores e os direitos dos titulares (de acordo com o art. 1º, II, ‘a’, da Recomendação nº 73/2020 do CNJ; (e.3) e as informações sobre o encarregado (nome, endereço e e-mail para contato);

(f) a disponibilização de informações adequadas sobre o tratamento de dados pessoais, por meio de: (f;1) avisos de cookies no portal institucional do tribunal; (f;2) política de privacidade para navegação na página da instituição; (f;3) e política geral de privacidade e proteção de dados pessoais a ser aplicada internamente em cada tribunal e supervisionada pelo Comitê Gestor de Proteção de Dados Pessoais;

(g) a criação dos assuntos suplementares “proteção de dados pessoais” e “privacidade” nas tabelas processuais, para facilitar a distribuição e o controle das demandas relacionadas à proteção de dados, ao respeito à privacidade e à LGPD;

(h) a determinação de análise pelos serviços extrajudiciais sobre a adequação de suas atribuições à LGPD;

(i) a organização de um programa de conscientização sobre a LGPD, destinado a magistrados, servidores, terceirizados, estagiários e residentes judiciais, das áreas administrativas e judiciárias de primeira e segunda instâncias;

(j) a revisão de todos os modelos de minutas de contratos e convênios em vigor que autorizem o compartilhamento de dados com terceiros, e a elaboração de orientações para a adequação das contratações futuras à LGPD, a partir dos seguintes critérios: (j.1) cada operação de tratamento de dados pessoais deve conter uma finalidade específica, vinculada ao interesse público e apoiada em uma regra de atribuição administrativa aplicável ao caso; (j.2) o tratamento de dados pessoais previsto no ato deve ser compatível com a finalidade especificada e necessário para a sua realização; (j.3) a inclusão de cláusulas de eliminação de dados pessoais nos contratos, convênios e instrumentos congêneres, observados os princípios da finalidade e da necessidade; (j.4) e a elaboração do relatório de impacto de proteção de dados pessoais previamente ao contrato ou convênio, observado o princípio da transparência;

(k) a implantação de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, por meio da: (k.1) elaboração de política de segurança da informação, que contenha um plano de resposta a incidentes (art. 48 da LGPD), e a previsão de adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços (art. 46, § 1º, da LGPD); (k.2) avaliação dos sistemas e dos bancos de dados em que houver tratamento de dados pessoais, com a submissão dos resultados à apreciação do CGPD para as devidas deliberações; (k.3) avaliação da segurança de integrações de sistemas; (k.4) análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros;

(l) a elaboração e a manutenção dos registros de tratamentos de dados pessoais, com informações sobre a finalidade do tratamento, a base legal; a descrição dos titulares, as categorias de dados, as categorias de destinatários, a eventual transferência internacional; o prazo de conservação e as medidas de segurança adotadas (art. 37 da LGPD);

(m) e a prestação da informações ao Comitê Gestor de Proteção de Dados Pessoais sobre a existência de projetos de automação e inteligência artificial, com a elaboração do relatório de impacto à proteção de dados pessoais relativo aos critérios e direitos previstos na LGPD (art. 6º, VI e IX, e art. 20).

Na sequência, o art. 2º da Resolução estabelece três ações mínimas que os tribunais devem observar para a implantação da LGPD:

(1) a realização do mapeamento de todas as atividades de tratamento de dados pessoais, por meio do modelo de questionário a ser elaborado pelo CNJ;

(2) a realização da avaliação das vulnerabilidades (gap assessment) para o diagnóstico das lacunas existentes na proteção de dados pessoais;

(3) e a elaboração de um plano de ação (roadmap), com a previsão de execução de todas as atividades previstas na Resolução.

Portanto, trata-se de uma Resolução com conteúdo de Recomendação, porque não regulamenta a aplicação da LGPD no Judiciário, mas contém regras gerais que orientam os tribunais a adequarem as suas atividades à Lei Geral de Proteção de Dados Pessoais (de modo similar à Recomendação nº 73/2020 do CNJ), como a criação do Comitê Gestor e do Grupo de Trabalho, a inclusão do portal de proteção de dados na internet, a revisão de atos e contratos, a documentação das atividades de tratamento e a adoção de ações mínimas para o cumprimento adequado das normas legais.


Autor


Informações sobre o texto

Como citar este texto (NBR 6023:2018 ABNT)

CARDOSO, Oscar Valente. A regulamentação da proteção de dados pessoais pelo Conselho Nacional de Justiça. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 25, n. 6377, 16 dez. 2020. Disponível em: https://jus.com.br/artigos/87452. Acesso em: 28 maio 2022.