RESOLUÇÃO N. 356, DE 27 DE ABRIL DE 2021.
Estabelece a política de Proteção de Dados Pessoais no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.
O Tribunal Regional Eleitoral do Rio Grande do Sul, no uso de suas atribuições legais e regimentais, Considerando a Lei n. 13.709 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
Considerando a Lei n. 12.965 de 23 de abril de 2014 - Lei do Marco Civil da Internet;
Considerando a Lei n. 12.527, 28 de novembro de 2011 - Lei de Acesso à Informação;
Considerando a Resolução CNJ n. 363, de 12 de janeiro de 2021, que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais pátrios;
Considerando a necessidade de tornar eficazes as ações relacionadas à proteção de dados pessoais e a conformidade para o cumprimento da missão institucional do TRE-RS e, ainda, a elaboração de parâmetros para a governança de dados,
RESOLVE:
Art. 1º Instituir a Política de Proteção de Dados Pessoais no âmbito do TRE-RS, definindo as diretrizes fundamentais para a preservação da privacidade, da inviolabilidade da honra e da imagem de titulares de dados e a observância à liberdade de expressão, de informação, de comunicação e de opinião.
Art. 2º Para efeitos desta Política, fica estabelecido o significado dos seguintes termos e expressões:
I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
IV - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
V - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VI - Encarregado pelo Tratamento de Dados Pessoais (Encarregado): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
VII - Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VIII - Sítio eletrônico ou site: conjunto de páginas disponibilizadas na internet;
IX - Hotsite: tipo de sítio eletrônico que possui apenas um objetivo;
X - Registro de Tratamento de Dados Pessoais: documentação do controlador com as informações sobre o tratamento de dados pessoais realizados no TRE-RS;
XI - Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a relação dos tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XII - Privacy by Design: conceito no qual o desenvolvimento de novos projetos, processos de trabalho e sistemas de informação, que envolvam o processamento de dados pessoais, deve considerar a proteção à privacidade desde sua concepção.
XIII - Política de Privacidade de Navegação no site: informações aos visitantes do sítio do TRE-RS acerca dos dados eventualmente coletados durante sua navegação, bem como sobre a utilização de cookies;
XIV - Cookie: É um pequeno arquivo de computador ou pacote de dados enviados por um site de Internet para o navegador do usuário, quando o utilizador visita o site. Cada vez que o usuário visita o site novamente, o navegador envia o cookie de volta para o servidor para notificar atividades prévias do usuário, com o objetivo de melhorar a experiência de navegação.
Art. 3º O tratamento de dados pessoais pelo TRE-RS é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e proporcionar serviço público de excelência.
Art. 4° No caso de formalização de contrato ou instrumento congênere entre o TRE-RS e pessoa natural ou jurídica com a previsão de tratamento de dados pessoais, é vedado ao operador adicionar qualquer outra finalidade, devendo realizar o tratamento exclusivamente para alcançar o objetivo estabelecido pelo controlador.
§ 1º Deverão ser revistos os contratos e convênios com terceiros já existentes que autorizem o compartilhamento de dados pessoais, bem como elaboradas orientações para as contratações futuras, em conformidade com a LGPD.
§ 2º O Encarregado deverá identificar as providências necessárias para a garantia da efetividade das cláusulas contratuais, podendo, inclusive, solicitar a realização de diligências.
Art. 5º O Encarregado será o titular do cargo em comissão de Assessor de Segurança da Informação para execução das atribuições relacionadas, nos termos da lei.
Parágrafo único. Compete ao Encarregado desempenhar as atribuições descritas nesta Política e cientificar a Presidência do TRE-RS a respeito de aspectos e fatos significativos relacionados à Política de Privacidade e Proteção de Dados Pessoais.
Art. 6º O Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI) cumprirá as funções do Comitê Gestor de Proteção de Dados Pessoais (CGPD), previsto na LGPD.
§ 1° O Encarregado demandará o CSI para apoiá-lo na execução de projetos e processos necessários à adequação do TRE-RS à LGPD.
§2º O Encarregado submeterá ao CSI as questões relacionadas ao tratamento de dados pessoais cujas regras não estejam explicitamente previstas em norma, nem tenham sido tratadas no Registro de Tratamento de Dados Pessoais (RTDP), tampouco tenham sido objeto de consulta anterior ao Comitê.
Art. 7° Deverá ser elaborado e publicado no sítio institucional do TRE-RS um hotsite sobre a LGPD, contendo, no mínimo:
I - Informação do nome e contato do Encarregado;
II - Política de Proteção de Dados Pessoais e demais normas, publicadas pelo TRE-RS;
III - Formulário para exercício de direitos dos titulares de dados pessoais;
IV - Registro de Tratamento de Dados Pessoais.
Art. 8º O Registro de Tratamento de Dados Pessoais (RTDP) será mantido constantemente pelo Encarregado de Dados com a colaboração de todas as unidades do TRE-RS e conterá, no mínimo:
I - Identificação do processo de tratamento;
II - Finalidade do tratamento;
III - Forma e duração;
IV - Identificação do controlador;
V - Informações de contato do controlador;
VI - Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VII - Responsabilidades dos agentes de tratamento;
VIII - Necessidade de consentimento do titular para tratamento do dado pessoal; e
IX - Direitos do titular, com menção explícita aos contidos no art. 18 da LGPD.
§1º O RTPD deverá abranger todos os processos de tratamento de dados pessoais, devendo ser construído gradualmente.
§2º A construção do RTDP deverá observar critérios de prioridade, a serem definidos pelo CSI, que contemplarão, no mínimo, o volume de dados tratados, a existência de dados pessoais sensíveis e a existência de normativo preexistente que mitigue a ausência do processo no RTDP.
§3º Sempre que um serviço for disponibilizado ou alterado, o RTDP deverá ser atualizado.
Art. 9° Nos casos em que o consentimento é requerido, deverá ser expresso pelo titular do dado pessoal de forma clara e inequívoca.
§1º Se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o TRE-RS deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
§2º Quando o tratamento de dados pessoais for condição para o fornecimento de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular, elencados no art. 18 da LGPD.
§3° Em atendimento a suas competências legais, o TRE-RS poderá, no estrito limite de suas atividades jurisdicionais, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares.
Art. 10. Deverá ser elaborado, anualmente, um Relatório de Impacto de Proteção de Dados Pessoais (RIPD), para identificar, avaliar e tratar os riscos do tratamento de dados pessoais realizados pelo TRE-RS, com base no Registro de Tratamento de Dados Pessoais e em conformidade com a Política de Gestão de Riscos institucional.
Parágrafo único. O compartilhamento externo de dados deverá sempre ser precedido de atualização do RIPD quanto ao tratamento proposto.
Art. 11. O Registro de Tratamento de Dados Pessoais servirá de parâmetro para a definição e priorização dos controles de Segurança da Informação, sem prejuízo de outras diretrizes desta Resolução ou outras normas correlatas.
Art. 12. Caberá ao Encarregado o processamento dos pedidos relacionados ao exercício de direitos por parte dos titulares de dados pessoais.
Parágrafo único. A Ouvidoria receberá as requisições e manifestações dos titulares de dados e as encaminhará para o Encarregado.
Art. 13. O Encarregado deve manter atualizada a Política de Privacidade de Navegação antes de publicá-la no site do TRE-RS, devendo submeter novas versões ao CSI.
§ 1º Ao acessar pela primeira vez os sítios eletrônicos do TRE-RS, o visitante receberá mensagem informando da existência da política e dará orientações quanto à forma de consentimento.
§ 2º O consentimento vigorará enquanto o visitante não o revogar.
§ 3º Periodicamente, o aviso poderá ser reapresentado ao visitante para confirmação da aceitação.
Art. 14. O TRE-RS deverá adotar os princípios de "Privacy by Design" no processo de desenvolvimento de aplicações e gerenciamento de dados, incluindo a incorporação de tarefas relacionadas ao tratamento, exposição e uso de dados pelos sistemas.
Parágrafo único. Novos sistemas ou processos de trabalho devem ser precedidos da elaboração do RTDP e do RIDP.
Art. 15. Os bancos de dados que armazenam dados pessoais não podem estar disponíveis para acesso direto pela internet, devendo estar em rede segregada da rede exposta à internet e protegida por software ou hardware especializado em segurança de rede.
Art. 16. É vedado o armazenamento de dados pessoais fora dos repositórios oficiais, de acordo com os registros de tratamento de dados pessoais.
Art. 17. Deverá ser adotada solução tecnológica para gestão do consentimento.
§ 1º A solução deve centralizar os dados de consentimento e oferecer, no mínimo, as funcionalidades de registro, busca e exclusão do consentimento.
§ 2º O Encarregado poderá, a seu critério, após a elaboração e publicação dos registros de tratamento de dados pessoais, dispensar o desenvolvimento da solução prevista no caput, se considerar que o volume e variedade de tratamento de dados pessoais com base no consentimento for pequeno e o seu controle puder ser realizado por procedimento simplificado, desde que não haja prejuízo ao exercício dos direitos dos titulares de dados pessoais.
§ 3º Para os sistemas de informação padronizados nacionalmente, deve-se adotar a solução nacional para a gestão de consentimento, integrando-a a solução local quando tecnicamente viável.
Art. 18. O término do tratamento de dados pessoais ocorre quando observado:
I - perda de finalidade do tratamento ou a ausência de necessidade e pertinência do dado específico à finalidade prevista;
II - revogação do consentimento do titular, resguardada eventual conservação motivada por interesse público relevante;
III - fim do período de tratamento.
Parágrafo único. Após o término do tratamento, os dados pessoais devem ser eliminados, conforme determinado pela LGPD, autorizada a conservação para cumprimento de obrigação legal ou regulatória, incluída, nesta, a formação de jurisprudência administrativa e judicial.
Art. 19. O TRE-RS estabelecerá, em até 30 dias após a publicação desta Resolução, Processo de Resposta à Violação de Dados Pessoais, que terá como objetivos:
I - mitigar os danos causados pelos incidentes;
II - comunicar à Autoridade Nacional de Proteção de Dados e aos titulares da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Art. 20. A Política de Privacidade e Proteção de Dados Pessoais deve ser revista em intervalos não superiores a 24 (vinte e quatro) meses, a partir da data de sua publicação, ou em caso de ocorrência de fatos relevantes, tais como alterações na legislação aplicável ou mudanças significativas nas tecnologias utilizadas no tratamento de dados pessoais. Parágrafo único. Caberá ao Encarregado dar ampla divulgação a esta política, em cooperação com a Escola Judiciária Eleitoral do Rio Grande do Sul e a Assessoria de Comunicação do TRE-RS.
Art. 21. Magistrados e servidores ou quaisquer outros que tratem dados pessoais em nome do TRE-RS deverão receber capacitação acerca desta política, da importância da conformidade, das regras estabelecidas e das práticas adotadas.
Art. 22. Esta Resolução entra em vigor na data de sua publicação.
Tribunal Regional Eleitoral do Rio Grande do Sul, reunido em sessão por meio de videoconferência, aos vinte e sete dias do mês de abril de 2021.
Desembargador André Luiz Planella Villarinho,
Presidente.
Desembargador Arminio José Abreu Lima da Rosa,
Vice-Presidente e Corregedor Regional Eleitoral.
Desembargador Eleitoral Silvio Ronaldo Santos de Moraes
Desembargador Eleitoral Gerson Fischmann
Desembargador Federal Carlos Eduardo Thompson Flores Lenz
Desembargador Eleitoral Amadeo Henrique Ramella Buttelli
Desembargador Eleitoral Oyama Assis Brasil de Moraes
(Publicação: DJE, n. 73, p. 12, 28.04.2021)