Proteção de Dados Pessoais - LGPD

APRESENTAÇÃO

A Lei n. 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados - LGPD, dispõe sobre o tratamento de dados, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Estão expressamente estabelecidos na LGPD os seguintes fundamentos:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LGPD está dividida em 10 capítulos e 65 artigos.

Entre os conceitos apresentados pela LGPD, destaca-se o de dados pessoais, que são informações relacionadas à pessoa natural identificada ou identificável (art. 5º, I).

A LGPD protege não só a informação que identifica uma pessoa natural, como também aquela que, cruzada com outras, permite a identificação da pessoa natural.

Os dados pessoais sensíveis, são dados pessoais "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (art. 5º, I).

Titular dos dados, por sua vez, é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V).

Já o tratamento é qualquer ação que se faça com os dados pessoais ou dados pessoais sensíveis. A LGPD aponta como tratamento "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 5º, X).

Os agentes de tratamento de dados pessoais são três: o controlador, o operador e o encarregado pelo tratamento de dados pessoais.

Controlador é a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" (art. 5º, VI),

Operador é a "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador" (art. 5º, VII).

Encarregado pelo tratamento de dados pessoais, por seu turno, é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".

A Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, (rol de sanções administrativas que podem ser aplicadas pela ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

ATOS NORMATIVOS

Legislação Federal

Atos do conselho Nacional de Justiça - CNJ

  • Recomendação nº 73, de 20 de agosto de 2020 . Recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados – LGPD.

Atos do TRE-TO

  • Resolução nº 496, 17 de dezembro de 2020 - Aprova a revisão da Política de Segurança da Informação no âmbito da Justiça Eleitoral do Tocantins.
  • Resolução nº 475, DE 26 de junho de 2020 - Aprova as Diretrizes do Programa de Dados Abertos do Tribunal Regional Eleitoral do Tocantins.
  • Portaria nº 156, de 30 de março de 2016 - Institui o Comitê Gestor de Planejamento Estratégico e Governança da Tecnologia da Informação e Comunicação (COGETIC).
  • Portaria nº 541/2024 Institui a Comissão Permanente de Segurança da Informação, define o Gestor de Segurança da Informação e o Encarregado de Dados Pessoais no âmbito da Justiça Eleitoral do Tocantins e estabelece suas responsabilidades.
  • Portaria nº 542/2024 Institui a Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação no âmbito da Justiça Eleitoral do Tocantins e estabelece suas responsabilidades.
  • Portaria nº 548/2024 Designa o Coordenador e o representante da Polícia Judicial, ambos da CPSI-TO.

COMISSÃO PERMANENTE DE SEGURANÇA DA INFORMAÇÃO (CPSI-TO) (Portaria nº 541/2024)

A equipe da CPSI-TO será coordenada por Juíza ou Juiz Membro, designado pela Presidência do TRE-TO, sendo composta também pelas servidoras e pelos servidores lotados nos cargos abaixo relacionados:

I - Assessor(a)-Chefe da Assessoria Jurídico-Administrativa da Presidência;

II - Assessor(a) Administrativo da Corregedoria;

III - Assessor(a) de Planejamento e Gestão da Diretoria-Geral;

IV - Coordenador(a) de Gestão da Informação da Secretaria Judiciária e Gestão da Informação;

V - Coordenador(a) de Pessoal da Secretaria de Gestão de Pessoas;

VI - Coordenador(a) de Infraestrutura e Suporte da Secretaria de Tecnologia da Informação;

VII - Coordenador(a) de Materiais e Patrimônio da Secretaria de Administração e Orçamento;

VIII - Assessor(a) de Comunicação Social, Corporativa e Cerimonial;

IX - Assessor(a) de Segurança Cibernética da Secretaria de Tecnologia da Informação;

X - Representante da Polícia Judicial, indicado pela Presidência.

Juiz RODRIGO DE MENESES DOS SANTOS

Coordenador da  CPSI-TO/TRE-TO

MARCOS LEÔNCIO

Representar a Polícia Judicial na CPSI-TO

ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (Portaria nº 541/2024)

Titular da Coordenadoria de Gestão da Informação/SJI

Encarregado de dados

Telefone:
(63) 3229-9653

E-mail:
encarregado@tre-to.jus.br

Endereço:
Tribunal Regional Eleitoral do Tocantins
Av. Teotônio Segurado, Quadra 202 Norte, Conjunto 1, Lote 1 e 2, s/n
Plano Diretor Norte, Palmas – TO
Cep.  77006-214 

EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES (ETIR-TO) (Portaria 542/2024)

A equipe deve reportar-se a Comissão Permanente de Segurança da Informação do Tribunal Regional Eleitoral do Tocantins (CPSI-TO), sendo composta pelas servidoras e pelos servidores abaixo relacionados, sob coordenação do primeiro e, em sua ausência ou impedimento ocasional, pelo seguinte:

Composição:

I - Secretário de Tecnologia da Informação;

II - Assessor Técnico de Segurança Cibernética;

III - Coordenador de Suporte e Infraestrutura;

IV - Coordenador de Desenvolvimento de Sistemas;

V - Chefe da Seção de Redes e Segurança de Computadores;

VI - Chefe da Seção de Gestão de Infraestrutura Tecnológica;

VII - Chefe da Seção de Microinformática e Apoio ao Usuário;

VIII - Chefe da Seção de Sistemas Administrativos WEB.

DIREITOS DO TITULAR

Os direitos dos titulares estão previstos nos arts. 9º e 17 a 22 da LGPD, observe:

Art. 9º. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I - finalidade específica do tratamento;

II - forma e duração do tratamento, observados os segredos comercial e industrial;

III - identificação do controlador;

IV - informações de contato do controlador;

V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI - responsabilidades dos agentes que realizarão o tratamento; e

VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.

§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.

[...]

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;   (Redação dada pela Lei nº 13.853, de 2019)

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.     (Redação dada pela Lei nº 13.853, de 2019) 

§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I - em formato simplificado, imediatamente; ou

II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.

§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:

I - por meio eletrônico, seguro e idôneo para esse fim; ou

II - sob forma impressa.

§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.       (Redação dada pela Lei nº 13.853, de 2019) 

§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

§ 3º (VETADO)

Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

 

Plano de Ação Nº. 17/2021 - PRES/DG/SJI/COGIN/SEBIA

PROCESSO

:

0015630-98.2020.6.27.8000

INTERESSADO

:

Grupo de Trabalho para a implementação da Lei Geral de Proteção de Dados no Tribunal Regional Eleitoral do Tocantins.

 

1 - IDENTIFICAÇÃO

Ação: Processo de implementação da Lei Geral de Proteção de Dados no Tribunal Regional Eleitoral do Tocantins.

Objetivo: O Tribunal Regional Eleitoral do Tocantins estar em conformidade com a Lei Geral de Proteção de Dados - LGPD.

Justificativa: Garantir transparência no uso dos dados das pessoas físicas em quaisquer meios e estabelecer regras a respeito do tratamento de dados pessoais.

Conformidade Legal: A entrada em vigor da Lei no 13.709/2018 – Lei Geral de Proteção de Dados Pessoais - LGPD e a Resolução CNJ nº 363/2021 que dispõe sobre medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelo Poder Judiciário.

Nível de Importância: Alto.    Nível de Urgência: Alto.

Responsável: Valdenir Borges Júnior (STI) e-mail: valdenir.junior@tre-to.jus.br ramal: 9703

Solicitante: Presidência do Tribunal Regional Eleitoral.

Unidade Impactada:  Tribunal Regional Eleitoral.

Descrição do Impacto: Identificação dos dados, departamentos, meios (físico ou digital), operadores internos e externos para mensuração de exposição, a adoção das medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, bem como a criação de regras de boas práticas e de governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais.

 

2 - CRONOGRAMA -  (25/03/2021 - 26/06/2021)

Atividade

Data de início

Data de término

Área responsável

Instituir o Comitê Gestor de Proteção de Dados Pessoais - CGPD.

25/03/2021

26/03/2021

PRES

Designar o encarregado (servidor) pelo tratamento de dados pessoais.

25/03/2021

26/03/2021

PRES

Formar o Grupo de Trabalho Técnico de caráter multidisciplinar  (GT-LGPD).

25/03/2021

26/03/2021

PRES

Criar site institucional sobre a LGPD.

26/03/2021

31/03/2021

CGPD

Realizar diagnóstico inicial.

26/03/2021

08/04/2021

CGPD

Reunião: CGPD com Secretários e Coordenadores. Assunto: Processo de implementação do LGPD no Tribunal.

26/03/2021

31/03/2021

PRES

DG

Mapear os dados pessoais por meio de questionário (modelo do CNJ).

26/03/2021

22/04/2021

CGPD

Capacitar o CGPD para conformidade com a LGPD.

01/04/2021

15/04/2021

EJE

Realizar reunião de sensibilização com todos os colaboradores para apresentação do projeto de conformidade com a LGPD

16/04/2021

30/04/2021

EJE

Avaliar a necessidade da implementação de  avisos de cookies nos sites do Tribunal.

16/04/2021

30/04/2021

GT-LGPD

Realizar inventário de dados pessoais

23/04/2021

29/04/2021

CGPD

Criar políticas de privacidade

25/04/2021

22/05/2021

GT-LGPD

Realizar análise de risco de dados pessoais.

29/04/2021

10/05/2021

CGPD

Avaliar a necessidade de implementar a  privacidade a partir da concepção (Privacy by Design) e privacidade por padrão (Privacy by Default).

01/05/2021

30/05/2021

GT-LGPD

Avaliar a necessidade de implementar gestão de consentimento.

01/05/2021

30/05/2021

GT-LGPD

Recomendar contramedidas de segurança.

10/05/2021

30/05/2021

CGPD

Adequar a política de segurança da informação.

22/05/2021

31/05/2021

GT-LGPD

Adequar Código de Ética

23/05/2021

13/06/2021

SJI

SGP

GT-Ética

Elaborar/Adequar normas internas (regimentos, resoluções e portarias)

23/05/2021

12/06/2021

DG

SJI

SGP

SADOR

 

Adequar contratos com operadores/fornecedores/terceiros.

23/05/2021

12/06/2021

DG

SADOR

Implementar contramedidas de segurança tecnológicas.

01/06/2021

30/06/2021

STI

Implementar gestão de pedidos dos titulares de dados

01/06/2021

30/06/2021

GT-LGPD

ORE

Capacitar os magistrados, servidores, colaboradores e estagiários do Tribunal para conscientização sobre a LGDP.

01/06/2021

20/07/2021

EJE

Elaborar o plano de resposta a incidentes a dados pessoais.

13/06/2021

26/06/2021

GT-LGPD

Avaliar a necessidade de realizar Relatórios de Impacto à Proteção de Dados (RIPD).

13/06/2021

26/06/2021

GT-LGPD

Atas das Reuniões

Comissão de Segurança da Informação

2021

Data SEI Ata Deliberações
25/05/2021 0016205-09.2020.6.27.8000 Ata 01 A Comissão de Segurança da Informação passará a responder sobre temas relacionados Proteção de Dados em virtude da proximidade com o tema de Segurança da Informação; e que passará a ser chamada de Comissão de Segurança da Informação e Proteção de Dados e serão incluídos novos membros.
06/04/2021 0016205-09.2020.6.27.8000 Ata 02 Foi definido a contratação de um treinamento sobre "Implementação de Adequação à Lei Geral de Proteção de Dados", em plataforma EAD, e deve haver pelo menos 25 vagas.
14/05/2021 0016205-09.2020.6.27.8000 Ata 03 O curso sobre a Implementação de Adequação à Lei Geral de Proteção de Dados - LGPD foi ofertado aos membros desta Comissão e será realizado no período de 17 a 28/05/2021, segunda a sexta, das 19h às 21h30. Os colaboradores que não puderem realizar a capacitação devem apresentar justificativa. Será encaminhado no grupo de WhatsApp dos membros desta Comissão o modelo de planilha de mapeamento de dados pessoais para ser preenchido com as informações sensível de dados pessoas das unidades

2020

Data SEI Ata Deliberações
02/09/2020 0016205-09.2020.6.27.8000 Ata 01 A minuta da Política será encaminhada para apreciação do COGETIC e, sendo aprovada, será enviada posteriormente ao Tribunal Pleno para deliberação.