Conselho Nacional de Justiça
| Autos: | ATO NORMATIVO - 0010276-22.2020.2.00.0000 |
| Requerente: | CONSELHO NACIONAL DE JUSTIÇA - CNJ |
| Requerido: | CONSELHO NACIONAL DE JUSTIÇA - CNJ |
ATO NORMATIVO. GRUPO DE TRABALHO. ELABORAÇÃO DE ESTUDOS E DE PROPOSTAS VOLTADAS À ADEQUAÇÃO DOS TRIBUNAIS À LEI GERAL DE PROTEÇÃO DE DADOS. PORTARIA CNJ Nº 212, DE 2020.
ACÓRDÃO
O Conselho decidiu, por unanimidade: I - incluir em pauta o presente procedimento, nos termos do § 1º do artigo 120 do Regimento Interno; II - aprovar a resolução, nos termos do voto do Relator. Ausente, em razão da vacância do cargo, o representante do Ministério Público da União. Presidiu o julgamento o Ministro Luiz Fux. Plenário, 15 de dezembro de 2020. Presentes à sessão os Excelentíssimos Senhores Conselheiros Luiz Fux, Maria Thereza de Assis Moura, Emmanoel Pereira, Luiz Fernando Tomasi Keppen, Rubens Canuto, Tânia Regina Silva Reckziegel, Mário Guerreiro, Candice L. Galvão Jobim, Flávia Pessoa, Ivana Farina Navarrete Pena, Marcos Vinícius Jardim Rodrigues, André Godinho, Maria Tereza Uille Gomes e Henrique Ávila.
Conselho Nacional de Justiça
| Autos: | ATO NORMATIVO - 0010276-22.2020.2.00.0000 |
| Requerente: | CONSELHO NACIONAL DE JUSTIÇA - CNJ |
| Requerido: | CONSELHO NACIONAL DE JUSTIÇA - CNJ |
RELATÓRIO
Trata-se de Ato Normativo elaborado pelo Grupo de Trabalho instituído pela Portaria CNJ nº 212, de 15 de outubro de 2020, que submete ao Plenário do Conselho Nacional de Justiça projeto de Resolução que dispõe sobre o estabelecimento de medidas para o processo de adequação da Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais.
Brasília, 11 de dezembro de 2020.
Henrique Ávila
Conselheiro Relator
Conselho Nacional de Justiça
| Autos: | ATO NORMATIVO - 0010276-22.2020.2.00.0000 |
| Requerente: | CONSELHO NACIONAL DE JUSTIÇA - CNJ |
| Requerido: | CONSELHO NACIONAL DE JUSTIÇA - CNJ |
VOTO
A Portaria nº 212, de 15 de outubro de 2020, subscrita pelo Presidente do Conselho Nacional de Justiça, instituiu Grupo de Trabalho (GT) destinado à elaboração de estudos e de propostas voltadas à adequação dos tribunais à Lei Geral de Proteção de Dados.
A citada Portaria, alterada posteriormente pelas Portarias nº 223, de 20 de outubro de 2020, e 251, de 18 de novembro de 2020, nomeou as seguintes autoridades para a composição do Grupo de Trabalho:
I – Henrique de Almeida Ávila, Conselheiro do Conselho Nacional de Justiça, responsável pela coordenação;
II – Ricardo Villas Bôas Cueva, Ministro do Superior Tribunal de Justiça;
III – Cláudio Mascarenhas Brandão, Ministro do Tribunal Superior do Trabalho;
IV – Alexandre Libonati de Abreu, Juiz Auxiliar da Presidência do Conselho Nacional de Justiça;
V – Fábio Ribeiro Porto, Juiz Auxiliar da Presidência do Conselho Nacional de Justiça;
VI –Walter Godoy dos Santos Junior, Juiz Auxiliar da Presidência do Conselho Nacional de Justiça;
VII – Aluísio Gonçalves de Castro Mendes, Desembargador do Tribunal Regional Federal da 2ª Região;
VIII – Paulo Sérgio Domingues, Desembargador do Tribunal Regional Federal da 3ª Região;
IX – Denise de Souza Luiz Francoski, Desembargadora do Tribunal de Justiça do Estado de Santa Catarina;
X– Fernando Antonio Tasso, Juiz de Direito do Tribunal de Justiça do Estado de São Paulo;
XI – Ingo Wolfgang Sarlet, advogado;
XII – Alexandre Zavaglia Coelho, advogado;
XIII – Juliano Souza de Albuquerque Maranhão, professor livre-docente da Faculdade de Direito da Universidade de São Paulo;
XIV– Laura Schertel Ferreira Mendes, professora adjunta da Universidade de Brasília;
XV– Danilo Cesar MaganhotoDoneda, professor do Instituto Brasiliense de Direito Público;
XVI – Miriam Wimmer, professora do Instituto Brasiliense de Direito Público;
XVII – Lenora de Beaurepaire da Silva Schwaitzer, professora adjunta da Universidade Federal da Paraíba. (Incluído pela Portaria nº 223, de 20.10.2020)
XVIII – Christine Santini, Desembargadora do Tribunal de Justiça do Estado de São Paulo; (alterado pela Portaria nº 251, de 18.11.2020)
XIX – Flávio Henrique Albuquerque de Freitas, Juiz de Direito do Tribunal de Justiça do Estado do Amazonas; (Incluído pela Portaria nº 251, de 18.11.2020)
XX – Paulo Magalhaes Nasser, Advogado; e (Incluído pela Portaria nº 251, de 18.11.2020)
XXI – Gabriel Schulman, Professor Doutor da Universidade Positivo. (Incluído pela Portaria nº 251, de 18.11.2020)
O prazo para a conclusão dos trabalhos foi estabelecido em 90 dias.
Os integrantes se reuniram em 3 reuniões telepresenciais, ocorridas nos dias 9 e 30 de novembro e 9 de dezembro. No intervalo entre os encontros, os membros apresentaram manifestações por meio do grupo de e-mails criado para essa finalidade.
Após o envio da proposta final de texto, foram acolhidas sugestões de aperfeiçoamento redacional à luz do que dispõe a Lei Complementar nº 95, de 26 de fevereiro de 1998.
Pelo exposto, o Grupo de Trabalho reitera os agradecimentos pela confiança depositada para atender a tão elevada missão e presta contas aos dignos integrantes do Conselho Nacional de Justiça e à sociedade do atual estado dos trabalhos no desincumbir das atribuições cometidas pelo Senhor Presidente.
Como nota final, apresento meus cumprimentos aos integrantes do Grupo de Trabalho, que ofereceram seus laboriosos préstimos para o êxito das atividades desenvolvidas ao longo de profícuos debates.
Brasília, 14 de dezembro de 2020.
Henrique Ávila
Conselheiro Relator
Estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos Tribunais.
CONSIDERANDO que é missão do Conselho Nacional de Justiça desenvolver políticas judiciárias que promovam a efetividade e a unidade ao Poder Judiciário, para os valores de justiça e de paz social;
CONSIDERANDO a entrada em vigor da Lei no 13.709/2018 (Lei Geral de Proteção de dados Pessoais – LGPD), bem como a crescente utilização da Internet e de modelos digitais estruturados para acesso e processamento de dados disponibilizados pelos órgãos do Poder Judiciário;
CONSIDERANDO a criação, por intermédio da Portaria CNJ no 212/2020, do Grupo de Trabalho destinado à elaboração de estudos e propostas voltadas à adequação dos tribunais à Lei no 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos titulares nos atos processuais e administrativos;
CONSIDERANDO a necessidade de padronização de critérios mínimos para os programas de implementação prática da Lei no 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) em todos os tribunais do país;
CONSIDERANDO os termos já constantes na Recomendação CNJ no 73/2020, que recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados (LGPD);
CONSIDERANDO a decisão plenária tomada no julgamento do Ato Normativo no 000XXXX-XX.2020.2.00.0000, na XXXXª Sessão XXXXX, realizada em XXX de XXXX de 2020;
Art. 1o Estabelecer medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais do país (primeira e segunda instâncias e Cortes Superiores), à exceção do Supremo Tribunal Federal, para facilitar o processo de implementação no âmbito do sistema judicial, consistentes em:
I – criar o Comitê Gestor de Proteção de Dados Pessoais (CGPD), que será o responsável pelo processo de implementação da Lei no 13.709/2018 em cada tribunal, com as seguintes características:
a) a composição do referido Comitê deverá ter caráter multidisciplinar e ter em vista o porte de cada tribunal;
b) caberá a cada Tribunal a decisão de promover a capacitação dos membros do CGPD sobre a LGPD e normas afins, o que poderá ser viabilizado pelas Academias ou Escolas Judiciais das respectivas Cortes de Justiça;
II – designar o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD;
III – formar um Grupo de Trabalho Técnico de caráter multidisciplinar para auxiliar nas funções junto ao encarregado pelo GT, composto, entre outros, por servidores da área de tecnologia, segurança da informação e jurídica;
IV – elaborar, por meio de canal do próprio encarregado, ou em parceria com as respectivas ouvidorias dos tribunais:
a) formulário eletrônico ou sistema para atendimento das requisições e/ou reclamações apresentadas por parte dos titulares dos dados pessoais;
b) fluxo para atendimento aos direitos dos titulares (art. 18, 19 e 20 da LGPD), requisições e/ou reclamações apresentadas, desde o seu ingresso até o fornecimento da respectiva resposta;
V – criar um site com informações sobre a aplicação da LGPD aos tribunais, incluindo:
a) os requisitos para o tratamento legítimo de dados;
b) as obrigações dos controladores e os direitos dos titulares nos termos do art. 1o, II, “a” da Recomendação do CNJ no 73/2020;
c) as informações sobre o encarregado (nome, endereço e e-mail para contato), referidas no art. 41, § 1o, da LGPD;
VI – disponibilizar informação adequada sobre o tratamento de dados pessoais, nos termos do art. 9o da LGPD, por meio de:
a) avisos de cookies no portal institucional de cada tribunal;
b) política de privacidade para navegação na página da instituição;
c) política geral de privacidade e proteção de dados pessoais a ser aplicada internamente no âmbito de cada tribunal e supervisionada pelo CGPD;
VII – zelar para que as ações relacionadas à LGPD sejam cadastradas com os assuntos pertinentes da tabela processual unificada;
VIII – determinar aos serviços extrajudiciais que, sob a supervisão da respetiva Corregedoria Geral da Justiça, analisem a adequação à LGPD no âmbito de suas atribuições;
IX – organizar programa de conscientização sobre a LGPD, destinado a magistrados, servidores, trabalhadores terceirizados, estagiários e residentes judiciais, das áreas administrativas e judiciais de primeira e segunda instâncias e Cortes Superiores, à exceção do Supremo Tribunal Federal;
X – revisar os modelos de minutas de contratos e convênios com terceiros já existentes, que autorizem o compartilhamento de dados, bem como elaborar orientações para as contratações futuras, para conformidade com a LGPD, considerando os seguintes critérios:
a) para uma determinada operação de tratamento de dados pessoais deve haver:
1. uma respectiva finalidade específica;
2. em consonância ao interesse público; e
3. com lastro em regra de competência administrativa aplicável à situação concreta;
b) o tratamento de dados pessoais previsto no respectivo ato deve ser:
1. compatível com a finalidade especificada; e
2. necessário para a sua realização;
c) inclusão de cláusulas de eliminação de dados pessoais nos contratos, convênios e instrumentos congêneres, à luz dos parâmetros da finalidade e da necessidade acima indicados;
d) realizar relatório de impacto de proteção de dados previamente ao contrato ou convênio, com observância do princípio da transparência;
XI – implementar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e seguintes da LGPD, por meio:
a) da elaboração de política de segurança da informação que contenha plano de resposta a incidentes (art. 48 da LGPD), bem como a previsão de adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços (art. 46, § 1o);
b) da avaliação dos sistemas e dos bancos de dados, em que houver tratamento de dados pessoais, submetendo tais resultados à apreciação do CGPD para as devidas deliberações;
c) da avaliação da segurança de integrações de sistemas;
d) da análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros;
XII – elaborar e manter os registros de tratamentos de dados pessoais contendo informações sobre
a) finalidade do tratamento;
b) base legal;
c) descrição dos titulares;
d) categorias de dados;
e) categorias de destinatários;
f) eventual transferência internacional; e
g) prazo de conservação e medidas de segurança adotadas, nos termos do art. 37 da LGPD.
XIII - Informar o CGPD sobre os projetos de automação e inteligência artificial.
Art. 2o Para o cumprimento do disposto nesta Resolução, recomenda-se que o processo de implementação da LGPD contemple, ao menos, as seguintes ações:
I – realização do mapeamento de todas as atividades de tratamento de dados pessoais por meio de questionário, conforme modelo a ser elaborado pelo CNJ;
II – realização da avaliação das vulnerabilidades (gap assessment) para a análise das lacunas da instituição em relação à proteção de dados pessoais;
III – elaboração de plano de ação (Roadmap), com a previsão de todas as atividades constantes nesta Resolução.
Art. 3o Esta Resolução entra em vigor na data da sua publicação.
Ministro LUIZ FUX