Criada para estabelecer normas relativas à coleta e tratamento de dados pessoais e proteger os direitos de liberdade e privacidade dos brasileiros, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) impôs mudanças que devem ser seguidas por órgãos públicos e empresas privadas. Responsável pela gestão e armazenamento de uma infinidade de dados de todos os cidadãos brasileiros, o Poder Judiciário mobilizou todas suas esferas para responder às exigências legais e atuar em conformidade com a lei.
A LGPD entrou em vigor no dia 18 de setembro de 2020 e a aplicação das sanções previstas na lei passaram a valer em 1º de agosto de 2021. No processo de preparação para as novas regras, o Conselho Nacional de Justiça (CNJ) editou a Recomendação n. 73/2020, formulada para estimular a preparação dos órgãos do Judiciário para cumprimento da nova norma. Em seguida, veio a Resolução n.363/2021, estabelecendo medidas que devem ser adotadas pelos tribunais para adequação às exigências contidas na legislação.
A Resolução também determinou a criação do Comitê Gestor de Proteção de Dados (CGPD), responsável pela implementação da LGPD nas cortes. Coordenador do Comitê, o conselheiro Luiz Fernando Bandeira de Mello destaca que, juntamente com uma série de ações concretas já implementadas, o grupo também promove debates que contribuem para o aperfeiçoamento das ações adotadas. “A receptividade às medidas propostas tem sido positiva e, rapidamente, o Poder Judiciário estará totalmente adequado para atendimento à LGPD. O objetivo, e nossa principal preocupação, é cuidar bem dos dados do cidadão”, explica.
A lei brasileira de proteção de dados teve a General Data Protection Regulation (GDPR) como parâmetro. Instituída pela Comissão Europeia em 2018, o normativo se encontrava em debate desde 2012 e foi impulsionado por escândalos envolvendo uso de dados pessoais em campanhas eleitorais. A revelação da atuação da consultoria política Cambridge Analytica no Brexit, plebiscito que decidiu pela saída do Reino Unido da União Europeia, foi um dos fatores fundamentais para adoção da lei.
Após denúncias, o Facebook admitiu o compartilhamento indevido de dados com a empresa que conduziu a campanha. De posse dos dados, a Cambridge Analytica analisava o perfil do eleitor, criava e direcionava propagandas específicas, atendendo aos interesses do contratante. No caso, os responsáveis pela campanha contrária à permanência do Reino Unido na União Europeia. O escândalo apontou como imprescindível o estabelecimento de leis para garantir a privacidade e controle de dados pessoais dos cidadãos.
Ao estabelecer as medidas para adequação à LGPB a serem adotadas pelos tribunais na Resolução n.363/2021, o CNJ considerou a necessidade de proteção da privacidade e dos dados pessoais dos titulares nos atos processuais e administrativos. Dentre as diversas medidas, foi determinada a criação de Comitês Gestores de Proteção de Dados Pessoais (CGPD), designação de encarregado pelo tratamento de dados pessoais, formação Grupo de Trabalho multidisciplinar para auxiliar ao encarregado pelo GT, envolvimento das ouvidorias e criação de um portal na internet com informações sobre a aplicação da LGPD.
As determinações também incluem disponibilização de informação adequada sobre o tratamento de dados pessoais, programas de conscientização sobre a nova lei, revisão de modelos de contratos e convênios de terceiros que autorizem compartilhamento de dados e implementação de medidas para proteger dados pessoais de acessos não autorizados ou que incidam em tratamento inadequado ou ilícito. Tais ações também estão em conformidade com as normas técnicas ISO 27.001 e ISO 27.701, que tratam dos processos de segurança da informação e controle de privacidade.
Transformação
Para responder às transformações previstas na Lei, os diversos tribunais brasileiros têm recorrido à criação de comitês e grupos de trabalho para estudar e propor medidas que devem ser implementadas. De acordo com o técnico judiciário da Assistência de LGPD e Processo de Segurança da Informação do Tribunal Regional Eleitoral do Paraná (TRE-PR) Juarez de Oliveira, o grande número de exigências e controles necessários refletem de maneira diferente nas cortes. “Tribunais de médio e grande porte têm que lidar com grande volume de dados. Já os de pequeno porte, onde o trabalho pode parecer mais fácil, existe a limitação de equipes reduzidas”, observa.
O servidor do TRE paranaense explica que o processo de transição exige muita atenção de todos os envolvidos. “É preciso saber quais dados podem ser expostos, o que se pode publicar de uma sentença ou o que pode ser veiculado no Portal do tribunal”. Segundo ele, é fundamental fazer uma análise completa sobre cada questão, pois não é mais possível continuar tratando dados como se tratava há cinco anos atrás. Nosso desafio, agora, é localizar as falhas e realizar as adequações necessárias”.
Oliveira relata que a Justiça Eleitoral já adotou diversas medidas voltadas para o atendimento da LGPD, como o estabelecimento de uma Política Nacional de Proteção de Dados e a implementação de controles para efetuar o mapeamento dos dados. “É fundamental saber por onde os dados transitam e como eles são tratados. Dominar os sistemas em que eles estão inseridos e verificar a conformidade do sistema de controle de armazenados com o controle de acesso”.
Os possíveis riscos existentes no sistema foram diagnosticados e elaborados inventários de dados. De acordo com o servidor, também já foram implementadas as medidas necessárias para garantia da segurança das informações. “Uma série de medidas já estão concretizadas, mas é um processo que exige constante atualização e atenção”. Oliveira avalia que a LGPD vai exigir que os tribunais disponham de estruturas e servidores exclusivos para cumpri-la. “Para alcançarmos o nível de maturidade necessário, é importante elevar a interação entre os tribunais”.
Nova cultura
Na avaliação do juiz do Tribunal Regional do Trabalho da 19ª Região (TRT19) Flávio Luiz da Costa, a LGPD promove uma nova cultura em relação à privacidade e à proteção de dados no país. “A Lei está provocando grandes transformações na rotina de pessoas, empresas e organizações públicas”. O magistrado avalia que, com o país integrado à tecnologia 5G, a utilização de dados pessoais aumentará exponencialmente. “A lei não vai proibir o uso dos dados pessoais, mas mostrar como eles devem ser utilizados de modo adequado, prudente, lógico e racional para evitar riscos, violações, inseguranças e abusos”.
Costa enfatiza que o Poder Judiciário, na condição de guardião dos dados pessoais de milhões de pessoas, irá estabelecer bons debates sobre a matéria e promoverá grandes reflexões sobre o assunto, que é tão importante para a sociedade. Ele relata que o TRT19 já adotou uma série de medidas para o cumprimento das exigências legais como a criação de um Comitê Gestor e de um Grupo Técnico de Trabalho reunindo diversos setores e servidores das áreas judiciais e administrativa do tribunal.
Encarregado pelo Tratamento de Dados do TRT19, o juiz relata que a unidade já instituiu uma Política de Privacidade e de Proteção de Dados, fixou regras para a divulgação de dados pessoais constantes das peças judiciais e de documentos administrativos na internet e para a expedição de certidões judiciais, lançou um hotsite dedicado à LGPD e divulga a política de cookies que adota e estabeleceu uma Política de Integridade nas Contratações. “Também oferecemos cursos e palestras sobre LGPD, tanto para servidores como para magistrados”.
A estrutura criada pelo tribunal para aplicação da LGP, além do Encarregado e do Controlador dos Dados, função desempenhada pelo presidente da Corte, desembargador Laerte Neves de Souza, foram designados 10 servidores para integrar o Comitê Gestor de Proteção de Dados Pessoais e 29 pessoas para o Grupo Técnico (GT) de Trabalho. Também a Ouvidoria do TRT19 atende ao cidadão, tanto da forma presencial, como on-line, pelo e-mail ouvidoria@trt19.jus.br e por meio de dois telefones.
O magistrado ressalta que a implementação das medidas está em curso e alcança todas as áreas do TRT19. “A LGPD se aplica a qualquer operação de tratamento de dados pessoais, em meio digital ou não. É obrigação do Poder Judiciário garantir a segurança dos dados que recebe e armazena, de modo a evitar que haja captação indevida, utilização diversa da finalidade prevista pelos titulares dos dados”. Assim, ele observa que é preciso utilizar, até mesmo de forma preventiva, todas as medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Texto: Jeferson Melo
Edição: Thaís Cieglinski
Agência CNJ de Notícias