PROCESSO ADMINISTRATIVO Nº 0600169-23.2021.6.17.0000
(SEI Nº 0020137-54.2020.6.17.8300)
Institui a Política de Proteção de Dados Pessoais (PPDP), no âmbito do Tribunal Regional Eleitoral de Pernambuco (TRE-PE).
O TRIBUNAL REGIONAL ELEITORAL DE PERNAMBUCO, no uso de suas atribuições legais e regimentais,
CONSIDERANDO o disposto nos incisos X e XXXIII do art. 5º, no caput e no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição da República Federativa do Brasil e no art. 46 da Lei nº 9.784, de 29 de janeiro de 1999;
CONSIDERANDO o teor da Lei nº 12.527, de 28 de novembro de 2011 (Lei de Acesso à Informação) que regula o acesso à informação previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
CONSIDERANDO os princípios, garantias, direitos e deveres relativos ao uso da internet no Brasil, previstos na Lei nº 12.965, de 23 de abril de 2014 (Lei do Marco Civil da Internet);
CONSIDERANDO as regras e diretrizes estabelecidas pela Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), para o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
CONSIDERANDO o disposto na Recomendação nº 73, de 20 de agosto de 2020, e na Resolução nº 363, de 12 de janeiro de 2021, ambas do Conselho Nacional de Justiça (CNJ), que estabelece medidas para o processo de adequação dos órgãos do Poder Judiciário à Lei Geral de Proteção de Dados Pessoais;
CONSIDERANDO o dever de proteção à privacidade dos dados pessoais cadastrados nos bancos de dados deste Tribunal, bem como daqueles constantes de atos e processos administrativos ou judiciais;
CONSIDERANDO a necessidade de padronização de critérios mínimos para implementação prática da Lei nº 13.709, de 2018, (LGPD), no âmbito deste Tribunal; e
CONSIDERANDO, finalmente, as deliberações constantes no Processo SEI nº 0020137-54.2020.6.17.8300, que trata da recomendação para adoção de medidas preparatórias e ações necessárias para adequação à LGPD,
RESOLVE:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Seção I
Da Finalidade e Escopo
Art. 1º Fica instituída a Política de Proteção de Dados Pessoais (PPDP) do Tribunal Regional Eleitoral de Pernambuco (TRE-PE).
§ 1º A PPDP visa a regulamentar o tratamento, objetivos e destinação dos dados pessoais, inclusive nos meios digitais, no âmbito do TRE-PE, agregando-lhes transparência e proteção à privacidade de seus(suas) titulares, de modo a impedir eventuais violações.
§ 2º As normas previstas nesta resolução serão de observância obrigatória para todas as unidades da Justiça Eleitoral de Pernambuco e para todos(as) aqueles(as) que estiverem a serviço desta, ainda que em caráter temporário, tais como magistrados(as), servidores(as), estagiários(as) e terceirizados(as), alocados(as) ou não.
§ 3º A proteção conferida por esta norma abrangerá os dados pessoais contidos em qualquer suporte, seja físico ou eletrônico, utilizado pelas unidades do TRE-PE, no regime de trabalho presencial ou remoto.
Art. 2º A proteção de dados pessoais no TRE-PE tem como fundamentos o respeito à privacidade, à autodeterminação informativa, à liberdade de expressão, de informação, de comunicação e de opinião, à inviolabilidade da intimidade, da honra e da imagem, ao desenvolvimento econômico e tecnológico e à inovação, aos direitos humanos, ao livre desenvolvimento da personalidade, à dignidade e ao exercício da cidadania pelas pessoas naturais.
Art. 3º Esta política de proteção de dados pessoais será gerenciada pelo Comitê Gestor de Proteção de Dados Pessoais (CGPD), instalado no âmbito deste TRE-PE, nos termos do art. 28 desta resolução.
Seção II
Dos Conceitos
Art. 4º Para o disposto nesta resolução, consideram-se os seguintes conceitos:
I - dado pessoal: informação relativa à pessoa natural identificada ou identificável, que permite a identificação do(a) titular, tais como nome, número do registro geral de identificação (RG), gênero, data e local de nascimento, número do telefone, endereço residencial ou eletrônico (e-mail), dados de localização mediante sistema global (GPS), placa de automóvel, imagem fotográfica ou computacional, cartão bancário, dentre outros;
II - dado pessoal sensível: dado pessoal genético, biométrico ou sobre origem racial ou étnica, saúde, vida sexual, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política;
III - dado pessoal anonimizado: aquele que não identifica seu(sua) titular, nem permite sua identificação, mediante a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - privacidade: esfera privada da vida de pessoa natural;
V - titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento;
VI - fluxo de tratamento: sequência de ações de manuseio e transmissão de dados pessoais;
VII - ciclo de vida: conjunto de etapas em que ocorrem ações de tratamento de dados pessoais;
VIII - Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, bem como por aplicar sanções em caso de descumprimento de suas determinações;
IX – controlador(a): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
X – operador(a): pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome e por ordem do(a) controlador(a);
XI - encarregado(a): pessoa indicada pelo(a) controlador(a) e operador(a) para atuar como canal de comunicação entre o controlador(a), os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
XII - Comitê Gestor de Tratamento e Proteção de Dados Pessoais (CGPD): comitê responsável pela implementação e supervisão da política e do programa de tratamento e proteção de dados pessoais;
XIII - política: definição de determinado objetivo institucional e dos respectivos conceitos, princípios, diretrizes, procedimentos e responsáveis;
XIV - programa: conjunto articulado de projetos, planos, processos e ações para atingir determinado objetivo institucional, de acordo com a política que o define;
XV - gestão de riscos: processo contínuo e integrado de ações de identificação e avaliação de situação de vulnerabilidade, bem como de elaboração e execução de plano de resposta a incidente de violação de políticas e programas;
XVI – consentimento: manifestação livre, informada e inequívoca pela qual o(a) titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XVII – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVIII – sítio eletrônico ou site: conjunto de páginas disponibilizadas na internet;
XIX – registro de tratamento de dados pessoais: documentação do(a) controlador(a) com as informações sobre o tratamento de dados pessoais;
XX – Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do(a) controlador(a) que contém a relação dos tratamentos de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XXI – política de privacidade e navegação no site: informações disponíveis aos(às) visitantes do sítio eletrônico do TRE-PE, acerca dos dados eventualmente coletados durante sua navegação, bem como sobre a utilização de cookies;
XXII – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e
XXIII – tratamento de dados pessoais: toda operação realizada com dados pessoais, referentes à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
CAPÍTULO II
DOS PRINCÍPIOS, DIRETRIZES E PROCEDIMENTOS
Seção I
Dos Princípios
Art. 5º Toda ação de tratamento e proteção de dados pessoais deverá observar os seguintes princípios:
I – boa-fé: convicção de que a ação de tratamento e/ou proteção é realizada em conformidade à legislação de regência, à moralidade administrativa e à ética profissional;
II – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao(à) titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
III – adequação: compatibilidade do tratamento com as finalidades informadas ao(à) titular, de acordo com o contexto do tratamento;
IV – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
V – livre acesso: garantia, aos(às) titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
VI – qualidade dos dados: garantia, aos(às) titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VII – transparência: garantia, aos(às) titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VIII – segurança: utilização de medidas técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
IX – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
X – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos; e
XI – responsabilização e prestação de contas: demonstração, pelo(a) agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Seção II
Das Diretrizes
Art. 6º Para conformidade das ações de tratamento e proteção de dados pessoais no âmbito do TRE-PE deverão ser consideradas as seguintes diretrizes:
I – elaboração do programa de tratamento e proteção de dados pessoais, contendo:
a) inventário de dados pessoais, do qual constará, no mínimo, o tipo de dado pessoal, ambiente de tratamento e responsável pelas ações de tratamento e proteção, os respectivos fluxo de tratamento e ciclo de vida;
b) relatório de impacto de proteção de dados pessoais, do qual constará, no mínimo, o plano de gestão de riscos e o plano de resposta a incidente de violação;
c) plano geral e, se necessário, planos setoriais de ações;
II – elaboração de política de privacidade do sítio eletrônico, que tem por objetivo a garantia do direito à privacidade dos dados pessoais daqueles(as) que visitam o sítio;
III – registro das atividades e política de retenção de dados;
IV – definição de procedimentos que garantam a confiabilidade e a integridade dos dados pessoais em todo seu fluxo de tratamento e durante todo seu ciclo de vida;
V – padronização de informações que envolvam dados pessoais, com a utilização de dados pessoais anonimizados, quando possível;
VI – elaboração de modelos e formulários de termos de ciência de tratamento e proteção e de consentimento para disponibilização de dados pessoais, quando necessário; e
VII – adequação dos normativos, documentos e sistemas informatizados à legislação de referência.
Seção III
Dos Procedimentos
Art. 7º O TRE-PE realizará o tratamento de dados pessoais necessário e imprescindível à execução de suas funções jurisdicional e administrativa, garantida a privacidade dos(as) titulares.
Art. 8º Será realizada a divulgação, em lugar de fácil acesso e visualização no sítio eletrônico e redes sociais do Tribunal, das seguintes informações:
I – inteiro teor da política e do programa de tratamento e proteção de dados pessoais;
II – aspectos básicos da LGPD, incluindo os requisitos para o tratamento e a proteção de dados pessoais, as obrigações do(a) controlador(a) e os direitos dos(as) titulares;
III – identificação e contatos do(a) controlador(a) e do(a) encarregado(a);
IV – canais e formas de comunicação com o(a) encarregado(a), bem como formulários para o exercício de direitos dos(as) titulares de dados pessoais;
V – política de privacidade para navegação no sítio eletrônico do TRE-PE em relação à LGPD e à Lei nº 12.965, de 2014 (Marco Civil da Internet); e
VI – registro de tratamento de dados pessoais.
Art. 9º O Registro de Tratamento de Dados Pessoais (RTDP) conterá, entre outras informações:
I – o tipo de dado pessoal e o ambiente de tratamento;
II – a finalidade do tratamento;
III – o prazo de conservação, conforme definido no Programa de Gestão Documental da Justiça Eleitoral de Pernambuco;
IV – a base legal do tratamento;
V – a descrição dos(as) titulares;
VI – as categorias de destinatários(as);
VII – a transferência internacional, se houver;
VIII – as medidas de segurança adotadas; e
IX – a gestão de riscos das ações de tratamento e proteção de dados pessoais.
§ 1º O RTDP deverá abranger todos os processos de tratamento de dados pessoais e será mantido pelo(a) controlador(a).
§ 2º Quando um serviço for disponibilizado ou alterado, o RTDP deverá ser atualizado.
§ 3º O RTDP servirá de parâmetro para a definição e priorização dos controles de segurança da informação, sem prejuízo das diretrizes desta resolução e de outras normas correlatas.
Art. 10. Com base no RTPD e em conformidade com a política de gestão de riscos, elaborar-se-á o Relatório de Impacto de Proteção de Dados Pessoais (RIPD), com a finalidade de identificar, avaliar e tratar os riscos do tratamento de dados pessoais realizados pelas unidades deste Tribunal.
Parágrafo único. O compartilhamento externo de dados e a implantação de novos sistemas ou processos de trabalho deverão ser precedidos da elaboração ou atualização do RIPD.
Art. 11. A política de privacidade para navegação no sítio eletrônico do TRE-PE deverá ser elaborada e atualizada pela Assessoria de Comunicação (ASCOM), para submissão ao CGPD.
Art. 12. Os(As) titulares de dados pessoais exercerão seus direitos de acordo com os procedimentos e prazos previstos na LGPD e pelos canais e formas de comunicação disponíveis na Ouvidoria Regional Eleitoral.
CAPÍTULO III
DO TRATAMENTO DOS DADOS PESSOAIS
Seção I
Dos Requisitos para o Tratamento de Dados Pessoais
Art. 13. O tratamento de dados pessoais pelo TRE-PE deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.
§ 1º O Regimento Interno, o Regulamento Administrativo e o Código de Ética do TRE-PE, bem como demais normas internas ou provenientes do Tribunal Superior Eleitoral (TSE), do Conselho Nacional de Justiça (CNJ) ou da ANPD, fundamentarão o adequado tratamento dos dados pessoais cujas finalidades e limites são delineados nesta política.
§ 2º Para atendimento das suas competências legais, o TRE-PE poderá, no limite de sua finalidade pública, tratar dados pessoais com dispensa de obtenção de consentimento dos(as) respectivo(as) titulares, de acordo com os objetivos aos quais o tratamento dos dados pessoais se destina e conforme a autorização contida no inciso II do art. 7º da Lei nº 13.709, de 14 de agosto de 2018 (LGPD).
§ 3º Quando o Tribunal necessitar comunicar ou compartilhar dados pessoais com outros(as) controladores(as), isto será feito no cumprimento de suas obrigações legais ou regulatórias, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais e conforme a interoperabilidade de seus sistemas e serviços de tecnologia da informação.
§ 4º A dispensa da exigência do consentimento não isentará os(as) agentes de tratamento das demais obrigações previstas nesta resolução e no § 6º do art. 7º da LGPD.
Art. 14. É dever dos(as) agentes de tratamento cumprir as normas relativas à Política de Segurança da Informação (PSI) deste Tribunal, observando as medidas de segurança, incluindo a proteção das senhas de acesso, bem como manter sob sigilo dados e informações de natureza confidencial, obtidos no exercício de sua atividade ou, ainda, de natureza pessoal de outros(as) servidores(as) que só a eles(as) digam respeito.
Art. 15. O tratamento posterior dos dados pessoais poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do(a) titular, assim como os fundamentos e os princípios previstos nesta resolução e na LGPD.
Art. 16. Os dados pessoais que se encontrarem em arquivos físicos (suporte em papel) ou arquivos digitais deverão ser mantidos e preservados na mais rigorosa proteção contra vazamentos ou acessos indevidos.
Art. 17. É vedado o armazenamento de dados pessoais fora dos repositórios oficiais, de acordo com os registros de tratamento de dados pessoais.
Art. 18. Os bancos de dados que armazenam dados pessoais não poderão estar disponíveis para acesso direto pela internet, devendo permanecer em rede segregada daquela exposta à internet e protegida por software ou hardware especializado em segurança de rede.
Art. 19. Os dados anonimizados não serão considerados dados pessoais para os fins desta resolução, conforme disciplina o art. 12 da LGPD.
Art. 20. A proteção de dados pessoais de magistrados(as) e de servidores(as) deverá observar as condições determinadas pelo Tribunal Superior Eleitoral, pelo Conselho Nacional de Justiça e pela Autoridade Nacional de Proteção de Dados, na forma da legislação e regulamentação vigentes.
Seção II
Do Tratamento de Dados Pessoais Sensíveis
Art. 21. O tratamento de dados pessoais sensíveis, assim considerados aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural, somente ocorrerá de acordo com a base legal adequada à finalidade do tratamento e no cumprimento de obrigação legal ou regulamentar pelo TRE-PE, conforme autorização contida na alínea “a” do inciso II do art. 11 da LGPD.
Parágrafo único. O tratamento dispensa o consentimento do(a) titular, pois trata de cumprimento de obrigação legal ou regulamentar pelo TRE-PE, bem como para o compartilhamento de dados necessários à execução de políticas públicas previstas em lei ou regulamento, razão pela qual se dará publicidade aos fatos.
Seção III
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
Art. 22. O tratamento de dados pessoais de crianças e de adolescentes no TRE-PE tem a finalidade de atender ao seu melhor interesse e será realizado de acordo com a base legal adequada à finalidade desse tratamento.
§ 1º No cumprimento de obrigação legal ou execução de políticas públicas, dar-se-á publicidade à informação sobre os tipos de dados coletados, sobre a forma de sua utilização e sobre os procedimentos para o exercício dos direitos de proteção dos dados pessoais.
§ 2º A promoção dos direitos e da proteção da criança e do(a) adolescente deverá ser efetuada com respeito à sua privacidade, intimidade e direito à honra e imagem.
§ 3º A informação sobre o tratamento de dados pessoais referentes a crianças ou adolescentes deverá estar disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade na forma da lei.
Seção IV
Do Término do Tratamento de Dados
Art. 23. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do(a) titular, quando for o caso, da revogação do consentimento, resguardado o interesse público; e
IV – determinação, pela ANPD, quando houver violação à proteção de dados pessoais.
Art. 24. Após o término do tratamento, os dados pessoais serão eliminados, exceto quando remanescer o cumprimento de obrigação legal ou regulatória.
Parágrafo único. A eliminação dos dados pessoais deverá seguir o estabelecido na Resolução nº 308, de 18 de dezembro de 2017, deste Tribunal, que dispõe sobre o Programa de Gestão Documental da Justiça Eleitoral de Pernambuco, ou normativo que venha a substituí-la, bem como observar os instrumentos de gestão documental deste Regional, em especial a Tabela de Temporalidade de Documentos – TTD.
CAPÍTULO IV
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Seção I
Do(a) Controlador(a)
Art. 25. O TRE-PE é o controlador dos dados pessoais por ele tratados, nos termos de sua competência legal e regulamentar.
Parágrafo único. O(A) controlador(a) e os(as) operadores(as) deverão manter registro das operações de tratamento de dados pessoais que realizarem.
Art. 26. As atribuições do(a) controlador(a) serão exercidas pela Presidência do TRE-PE, a quem caberá, especialmente:
I – designar o(a) encarregado(a) e o comitê gestor de tratamento e proteção de dados pessoais;
II – aprovar o programa de tratamento e proteção de dados pessoais, baseando-se em metodologias e instrumentos de governança, gestão de riscos e segurança da informação, a fim de que os fluxos de tratamento de dados pessoais, durante todo o seu ciclo de vida, sejam permanentes e plenamente auditáveis;
III – instruir, com apoio do comitê gestor de tratamento e proteção de dados pessoais, os(as) operadores(as) para a realização de ações de tratamento e proteção de dados pessoais, verificando a conformidade dessas ações à legislação de regência e às boas práticas da área, assim como a esta política e ao respectivo programa;
IV – revisar e aperfeiçoar a política e o programa de tratamento e proteção de dados pessoais, no âmbito do TRE-PE, quando provocado pelo comitê gestor de tratamento e proteção de dados pessoais; e
V – fomentar a cultura da proteção de dados pessoais no âmbito do Tribunal.
Seção II
Do Encarregado(a) pelo Tratamento de Dados Pessoais
Art. 27. A função de encarregado(a) será exercida por pessoa com conhecimento e experiência na legislação de regência e nas boas práticas de tratamento e proteção de dados pessoais e será designada pelo(a) controlador(a), por meio de ato específico, competindo-lhe, especialmente:
I – aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências pertinentes à resolução da questão;
II – receber comunicações da autoridade nacional de proteção de dados e adotar as providências determinadas;
III – orientar os(as) operadores(as) a respeito das práticas a serem adotadas em relação à proteção de dados pessoais;
IV – apoiar a implementação e a manutenção de práticas de conformidade do TRE-PE à legislação sobre o tratamento de dados pessoais;
V – comunicar ao CGPD a ocorrência de evento relacionado à violação de dados pessoais;
VI – definir o fluxo para atendimento aos direitos dos(as) titulares de dados pessoais, requisições e/ou reclamações apresentadas, desde o seu ingresso até o fornecimento da respectiva resposta; e
VII – executar as demais atribuições determinadas pelo(a) controlador(a) ou estabelecidas em normas complementares.
§ 2º A identidade e as informações de contato do(a) encarregado(a) deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico do TRE-PE.
Seção III
Do Comitê Gestor de Proteção de Dados Pessoais (CGPD)
Art. 28. Ao Comitê Gestor de Proteção de Dados Pessoais (CGPD), cumprirá estudar e identificar as medidas necessárias à implementação da Lei Geral de Proteção de Dados Pessoais no âmbito deste Tribunal.
§ 1º Compete ao CGPD:
I - apresentar ao(à) controlador(a) ou encarregado(a) propostas de regulamentação da Lei nº 13.709, de 2018, no âmbito do Tribunal, podendo subsidiar-se de elementos fornecidos por grupos de trabalho criados para tratar de temas específicos;
II – sugerir ao(à) controlador(a) ou encarregado(a) providências a serem adotadas com vistas à implementação da Lei nº 13.709, de 2018;
III – monitorar e avaliar o cumprimento da Lei nº 13.709, de 2018;
IV – prestar apoio técnico-jurídico, quando solicitado pelo(a) encarregado(a) ou controlador(a); e
V - auxiliar o(a) encarregado(a) no desempenho de suas atribuições.
§ 2º Outras atribuições do comitê poderão ser definidas em normativo interno.
§ 3º As propostas do CGPD serão submetidas à Presidência para deliberação e adoção de eventuais providências.
§ 4º No desempenho de suas atribuições institucionais, o CGPD deverá observar também as diretrizes da Política de Segurança da Informação (PSI) do TRE-PE.
Art. 29. Integram o CGPD os(as) titulares dos seguintes cargos:
I – Diretor(a)-Geral;
II – Ouvidor(a) Eleitoral;
III – Secretários(as);
IV - Assessores(as)-Chefes;
V - Assessor(a) de Comunicação Social; e
VI - Presidente do Conselho de Zonas Eleitorais (CONZE).
Parágrafo único. Nas ausências e afastamentos de quaisquer dos membros do CGPD, atuarão como suplentes, os(as) substitutos(as) que assumirem a respectiva titularidade .
Seção IV
Do(a) Operador(a)
Art. 30. A função de operador(a) poderá ser exercida por pessoa jurídica ou natural de direito público ou privado que realiza o tratamento de dados, em nome e por ordem do(a) controlador(a), competindo-lhe, especialmente:
I – proteger a privacidade dos dados pessoais a que tenham acesso durante sua participação no fluxo de tratamento;
II – limitar a manipulação dos dados pessoais ao mínimo necessário à consecução da tarefa que lhes cabe; e
III – documentar as operações que efetuarem, narrando suas ações e descrevendo os tipos de dados pessoais e ambientes de tratamento a que tenham acesso.
§ 1º O(A) operador(a) será supervisionado(a) pelo(a) encarregado(a) de dados pessoais.
Art. 31. A ocorrência de incidente de violação será tratada pelo(a) operador(a), em conformidade com o plano de resposta a incidente de violação, que prontamente comunicará ao(à) encarregado(a) que, por sua vez, comunicará ao(à) controlador(a), o qual, oportunamente, comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e ao(à) titular.
CAPÍTULO V
DOS DIREITOS DO(A) TITULAR
Art. 32. Serão garantidos, ao(à) titular dos dados pessoais, os direitos fundamentais à liberdade, à intimidade, à privacidade e à proteção da honra e da imagem.
Art. 33. O(A) titular terá direito ao acesso facilitado às informações sobre o tratamento de seus dados, que serão disponibilizadas de forma clara, adequada e ostensiva.
Parágrafo único. Implementar-se-ão mecanismos para atender os direitos dos(as) titulares elencados(as) no art. 18 da LGPD.
Art. 34. Os procedimentos relativos ao exercício dos direitos do(a) titular de dados pessoais, às disposições sobre o consentimento e a transferência dos dados a terceiros, bem como à transferência de dados internacionais, serão disciplinados em ato normativo específico.
CAPÍTULO VI
DA GOVERNANÇA DE PROTEÇÃO DOS DADOS
Seção I
Da Estrutura e das Boas Práticas de Governança e Gestão
Art. 35. Os(As) agentes de tratamento seguirão regras de boas práticas pautadas nos princípios estipulados na LGPD e no Código de Ética do Tribunal.
Art. 36. O TRE-PE, na qualidade de controlador, poderá formular outras regras de boas práticas e de governança que estabeleçam as condições mínimas de organização das suas atividades para maior proteção de dados pessoais.
Art. 37. As regras de boas práticas levarão em consideração a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do(a) titular.
Art. 38. As boas práticas adotadas para proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas e educativas, no âmbito do TRE-PE, para disseminar a cultura protetiva, com conscientização dos(as) interessados(as).
Art. 39. O Plano Anual de Capacitação (PAC) dos(as) servidores(as) do Tribunal contemplará ações periódicas para conscientização sobre a privacidade e a proteção de dados pessoais.
Art. 40. Serão empreendidas, pelos(as) agentes de tratamento, condutas que estabeleçam relação de confiança com o(a) titular, por meio de atuação transparente e que lhe assegure mecanismos de participação.
Seção II
Da Comunicação de Incidentes à ANPD e a Titulares
Art. 41. A ocorrência de incidente de violação será tratada em conformidade com o disposto no art. 48 da LGPD e com o plano de resposta a incidente de violação, comunicando-se prontamente ao(à) encarregado(a) e, oportunamente, à autoridade nacional de proteção de dados (ANPD) e ao(à) titular pelo(a) controlador(a).
Seção III
Das Auditorias
Art. 42. A Secretaria de Auditoria (SAU) deverá realizar auditorias periódicas no âmbito do tratamento de dados pessoais, em prazo não superior a 2 (dois) anos.
Seção IV
Da Segurança na Proteção dos Dados
Art. 43. As diretrizes, os princípios e as medidas de segurança, técnicas e administrativas, para a proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, estão dispostas na Política de Segurança da Informação (PSI) do TRE-PE e instrumentos normativos correlatos.
CAPÍTULO VII
DA RESPONSABILIZAÇÃO
Art. 44. Eventual violação das normas previstas nesta resolução e na LGPD será apurada mediante processo administrativo, observado o contraditório e a ampla defesa, e sujeitará os(as) responsáveis, conforme o caso, às sanções disciplinares previstas na Lei nº 8.112, conforme o procedimento estabelecido na Resolução nº 289, de 8 de maio de 2017, deste Tribunal, bem como às administrativas aplicadas pela ANPD.
Art. 45. A responsabilização administrativa não impede a aplicação de sanções previstas no Código de Ética deste Tribunal, bem como as civis, penais ou por improbidade administrativa definidas em legislação específica.
CAPÍTULO VIII
DISPOSIÇÕES FINAIS
Art. 46. Esta política de proteção de dados pessoais será revista em intervalos não superiores a 24 (vinte e quatro) meses, a partir da data de sua publicação, ou quando houver edição ou alteração de leis e/ou regulamentos que interfiram em sua aplicação ou, ainda, antes do prazo, em razão de ocorrências ou incidentes que assim o exigirem.
Art. 47. As informações protegidas por sigilo continuarão resguardadas pela legislação de regência a elas relacionadas.
Art. 48. As omissões e os conflitos de interesse decorrentes da aplicação desta resolução serão dirimidos pelo Comitê Gestor de Proteção de Dados Pessoais, cabendo recurso de suas decisões para o(a) controlador(a).
Art. 49. Esta resolução entrará em vigor na data de sua publicação.
Recife, 23 de junho de 2021.
Des. Eleitoral CARLOS FREDERICO GONÇALVES DE MORAES
Presidente
Des. Eleitoral FREDERICO RICARDO DE ALMEIDA NEVES
Vice-Presidente e Corregedor Regional Eleitoral
Des. Eleitoral CARLOS GIL RODRIGUES FILHO
Des. Eleitoral RODRIGO CAHU BELTRÃO
Des. Eleitoral FRANCISCO ROBERTO MACHADO
Desa. Eleitoral MARIANA VARGAS CUNHA DE OLIVEIRA LIMA
Desa. Eleitoral IASMINA ROCHA
DR. WELLINGTON CABRAL SARAIVA
Procurador Regional Eleitoral
Publicado(a) no DJE/TRE-PE nº 133, de 25/06/2021, pp. 2/12.