Proteção de Dados Pessoais - LGPD
APRESENTAÇÃO
A Lei n. 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados - LGPD, dispõe sobre o tratamento de dados, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Estão expressamente estabelecidos na LGPD os seguintes fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD está dividida em 10 capítulos e 65 artigos.
Entre os conceitos apresentados pela LGPD, destaca-se o de dados pessoais, que são informações relacionadas à pessoa natural identificada ou identificável (art. 5º, I).
A LGPD protege não só a informação que identifica uma pessoa natural, como também aquela que, cruzada com outras, permite a identificação da pessoa natural.
Os dados pessoais sensíveis, são dados pessoais "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (art. 5º, I).
Titular dos dados, por sua vez, é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V).
Já o tratamento é qualquer ação que se faça com os dados pessoais ou dados pessoais sensíveis. A LGPD aponta como tratamento "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 5º, X).
Os agentes de tratamento de dados pessoais são três: o controlador, o operador e o encarregado pelo tratamento de dados pessoais.
Controlador é a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" (art. 5º, VI),
Operador é a "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador" (art. 5º, VII).
Encarregado pelo tratamento de dados pessoais, por seu turno, é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".
A Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, (rol de sanções administrativas que podem ser aplicadas pela ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
ATOS NORMATIVOS
Legislação Federal
- Lei n. 13.709, de 14 de agosto de 2018 (LGPD)
- Lei n. 13.853, de 8 de julho de 2019 (altera a Lei n. 13.709)
- Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)
Atos do conselho Nacional de Justiça - CNJ
- Recomendação nº 73, de 20 de agosto de 2020 . Recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados – LGPD.
Atos do TRE-TO
- Resolução nº 496, 17 de dezembro de 2020 - Aprova a revisão da Política de Segurança da Informação no âmbito da Justiça Eleitoral do Tocantins.
- Resolução nº 475, DE 26 de junho de 2020 - Aprova as Diretrizes do Programa de Dados Abertos do Tribunal Regional Eleitoral do Tocantins.
- Portaria nº 156, de 30 de março de 2016 - Institui o Comitê Gestor de Planejamento Estratégico e Governança da Tecnologia da Informação e Comunicação (COGETIC).
- Portaria nº 541/2024 Institui a Comissão Permanente de Segurança da Informação, define o Gestor de Segurança da Informação e o Encarregado de Dados Pessoais no âmbito da Justiça Eleitoral do Tocantins e estabelece suas responsabilidades.
- Portaria nº 542/2024 Institui a Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação no âmbito da Justiça Eleitoral do Tocantins e estabelece suas responsabilidades.
- Portaria nº 548/2024 Designa o Coordenador e o representante da Polícia Judicial, ambos da CPSI-TO.
COMISSÃO PERMANENTE DE SEGURANÇA DA INFORMAÇÃO (CPSI-TO) (Portaria nº 541/2024)
A equipe da CPSI-TO será coordenada por Juíza ou Juiz Membro, designado pela Presidência do TRE-TO, sendo composta também pelas servidoras e pelos servidores lotados nos cargos abaixo relacionados:
I - Assessor(a)-Chefe da Assessoria Jurídico-Administrativa da Presidência;
II - Assessor(a) Administrativo da Corregedoria;
III - Assessor(a) de Planejamento e Gestão da Diretoria-Geral;
IV - Coordenador(a) de Gestão da Informação da Secretaria Judiciária e Gestão da Informação;
V - Coordenador(a) de Pessoal da Secretaria de Gestão de Pessoas;
VI - Coordenador(a) de Infraestrutura e Suporte da Secretaria de Tecnologia da Informação;
VII - Coordenador(a) de Materiais e Patrimônio da Secretaria de Administração e Orçamento;
VIII - Assessor(a) de Comunicação Social, Corporativa e Cerimonial;
IX - Assessor(a) de Segurança Cibernética da Secretaria de Tecnologia da Informação;
X - Representante da Polícia Judicial, indicado pela Presidência.
Juiz RODRIGO DE MENESES DOS SANTOS |
Coordenador da CPSI-TO/TRE-TO |
MARCOS LEÔNCIO |
Representar a Polícia Judicial na CPSI-TO |
ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (Portaria nº 541/2024)
Titular da Coordenadoria de Gestão da Informação/SJI |
Encarregado de dados |
Telefone:
(63) 3229-9653
E-mail:
encarregado@tre-to.jus.br
Endereço:
Tribunal Regional Eleitoral do Tocantins
Av. Teotônio Segurado, Quadra 202 Norte, Conjunto 1, Lote 1 e 2, s/n
Plano Diretor Norte, Palmas – TO
Cep. 77006-214
EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES (ETIR-TO) (Portaria 542/2024)
A equipe deve reportar-se a Comissão Permanente de Segurança da Informação do Tribunal Regional Eleitoral do Tocantins (CPSI-TO), sendo composta pelas servidoras e pelos servidores abaixo relacionados, sob coordenação do primeiro e, em sua ausência ou impedimento ocasional, pelo seguinte:
Composição:
I - Secretário de Tecnologia da Informação;
II - Assessor Técnico de Segurança Cibernética;
III - Coordenador de Suporte e Infraestrutura;
IV - Coordenador de Desenvolvimento de Sistemas;
V - Chefe da Seção de Redes e Segurança de Computadores;
VI - Chefe da Seção de Gestão de Infraestrutura Tecnológica;
VII - Chefe da Seção de Microinformática e Apoio ao Usuário;
VIII - Chefe da Seção de Sistemas Administrativos WEB.
DIREITOS DO TITULAR
Os direitos dos titulares estão previstos nos arts. 9º e 17 a 22 da LGPD, observe:
Art. 9º. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.
[...]
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019)
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. (Redação dada pela Lei nº 13.853, de 2019)
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I - por meio eletrônico, seguro e idôneo para esse fim; ou
II - sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (Redação dada pela Lei nº 13.853, de 2019)
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
§ 3º (VETADO).
Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
Plano de Ação Nº. 17/2021 - PRES/DG/SJI/COGIN/SEBIA
PROCESSO |
: |
0015630-98.2020.6.27.8000 |
INTERESSADO |
: |
Grupo de Trabalho para a implementação da Lei Geral de Proteção de Dados no Tribunal Regional Eleitoral do Tocantins. |
1 - IDENTIFICAÇÃO
Ação: Processo de implementação da Lei Geral de Proteção de Dados no Tribunal Regional Eleitoral do Tocantins.
Objetivo: O Tribunal Regional Eleitoral do Tocantins estar em conformidade com a Lei Geral de Proteção de Dados - LGPD.
Justificativa: Garantir transparência no uso dos dados das pessoas físicas em quaisquer meios e estabelecer regras a respeito do tratamento de dados pessoais.
Conformidade Legal: A entrada em vigor da Lei no 13.709/2018 – Lei Geral de Proteção de Dados Pessoais - LGPD e a Resolução CNJ nº 363/2021 que dispõe sobre medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelo Poder Judiciário.
Nível de Importância: Alto. Nível de Urgência: Alto.
Responsável: Valdenir Borges Júnior (STI) e-mail: valdenir.junior@tre-to.jus.br ramal: 9703
Solicitante: Presidência do Tribunal Regional Eleitoral.
Unidade Impactada: Tribunal Regional Eleitoral.
Descrição do Impacto: Identificação dos dados, departamentos, meios (físico ou digital), operadores internos e externos para mensuração de exposição, a adoção das medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, bem como a criação de regras de boas práticas e de governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais.
2 - CRONOGRAMA - (25/03/2021 - 26/06/2021)
Atividade |
Data de início |
Data de término |
Área responsável |
Instituir o Comitê Gestor de Proteção de Dados Pessoais - CGPD. |
25/03/2021 |
26/03/2021 |
PRES |
Designar o encarregado (servidor) pelo tratamento de dados pessoais. |
25/03/2021 |
26/03/2021 |
PRES |
Formar o Grupo de Trabalho Técnico de caráter multidisciplinar (GT-LGPD). |
25/03/2021 |
26/03/2021 |
PRES |
Criar site institucional sobre a LGPD. |
26/03/2021 |
31/03/2021 |
CGPD |
Realizar diagnóstico inicial. |
26/03/2021 |
08/04/2021 |
CGPD |
Reunião: CGPD com Secretários e Coordenadores. Assunto: Processo de implementação do LGPD no Tribunal. |
26/03/2021 |
31/03/2021 |
PRES DG |
Mapear os dados pessoais por meio de questionário (modelo do CNJ). |
26/03/2021 |
22/04/2021 |
CGPD |
Capacitar o CGPD para conformidade com a LGPD. |
01/04/2021 |
15/04/2021 |
EJE |
Realizar reunião de sensibilização com todos os colaboradores para apresentação do projeto de conformidade com a LGPD |
16/04/2021 |
30/04/2021 |
EJE |
Avaliar a necessidade da implementação de avisos de cookies nos sites do Tribunal. |
16/04/2021 |
30/04/2021 |
GT-LGPD |
Realizar inventário de dados pessoais |
23/04/2021 |
29/04/2021 |
CGPD |
Criar políticas de privacidade |
25/04/2021 |
22/05/2021 |
GT-LGPD |
Realizar análise de risco de dados pessoais. |
29/04/2021 |
10/05/2021 |
CGPD |
Avaliar a necessidade de implementar a privacidade a partir da concepção (Privacy by Design) e privacidade por padrão (Privacy by Default). |
01/05/2021 |
30/05/2021 |
GT-LGPD |
Avaliar a necessidade de implementar gestão de consentimento. |
01/05/2021 |
30/05/2021 |
GT-LGPD |
Recomendar contramedidas de segurança. |
10/05/2021 |
30/05/2021 |
CGPD |
Adequar a política de segurança da informação. |
22/05/2021 |
31/05/2021 |
GT-LGPD |
Adequar Código de Ética |
23/05/2021 |
13/06/2021 |
SJI SGP GT-Ética |
Elaborar/Adequar normas internas (regimentos, resoluções e portarias) |
23/05/2021 |
12/06/2021 |
DG SJI SGP SADOR
|
Adequar contratos com operadores/fornecedores/terceiros. |
23/05/2021 |
12/06/2021 |
DG SADOR |
Implementar contramedidas de segurança tecnológicas. |
01/06/2021 |
30/06/2021 |
STI |
Implementar gestão de pedidos dos titulares de dados |
01/06/2021 |
30/06/2021 |
GT-LGPD ORE |
Capacitar os magistrados, servidores, colaboradores e estagiários do Tribunal para conscientização sobre a LGDP. |
01/06/2021 |
20/07/2021 |
EJE |
Elaborar o plano de resposta a incidentes a dados pessoais. |
13/06/2021 |
26/06/2021 |
GT-LGPD |
Avaliar a necessidade de realizar Relatórios de Impacto à Proteção de Dados (RIPD). |
13/06/2021 |
26/06/2021 |
GT-LGPD |
Atas das Reuniões
Comissão de Segurança da Informação
2021
Data | SEI | Ata | Deliberações |
25/05/2021 | 0016205-09.2020.6.27.8000 | Ata 01 | A Comissão de Segurança da Informação passará a responder sobre temas relacionados Proteção de Dados em virtude da proximidade com o tema de Segurança da Informação; e que passará a ser chamada de Comissão de Segurança da Informação e Proteção de Dados e serão incluídos novos membros. |
06/04/2021 | 0016205-09.2020.6.27.8000 | Ata 02 | Foi definido a contratação de um treinamento sobre "Implementação de Adequação à Lei Geral de Proteção de Dados", em plataforma EAD, e deve haver pelo menos 25 vagas. |
14/05/2021 | 0016205-09.2020.6.27.8000 | Ata 03 | O curso sobre a Implementação de Adequação à Lei Geral de Proteção de Dados - LGPD foi ofertado aos membros desta Comissão e será realizado no período de 17 a 28/05/2021, segunda a sexta, das 19h às 21h30. Os colaboradores que não puderem realizar a capacitação devem apresentar justificativa. Será encaminhado no grupo de WhatsApp dos membros desta Comissão o modelo de planilha de mapeamento de dados pessoais para ser preenchido com as informações sensível de dados pessoas das unidades |
2020
Data | SEI | Ata | Deliberações |
02/09/2020 | 0016205-09.2020.6.27.8000 | Ata 01 | A minuta da Política será encaminhada para apreciação do COGETIC e, sendo aprovada, será enviada posteriormente ao Tribunal Pleno para deliberação. |