RESOLUÇÃO Nº 28, DE 13 DE NOVEMBRO DE 2020

Institui a Política de Tratamento e Proteção de Dados
Pessoais do Tribunal Regional Eleitoral de Sergipe

O TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, no cumprimento de suas competências constitucional e legal e na forma de seu Regimento Interno;

CONSIDERANDO o disposto nos arts. 5º, X e XXXIII; 37, caput e § 3º, II; e 216, § 2º, da Constituição da República Federativa do Brasil, promulgada em 5/10/1988; e

CONSIDERANDO o disposto na Lei 13.709, sancionada em 14/8/2018 e intitulada “Lei Geral de Proteção de Dados Pessoais”;

RESOLVE:

Art. 1º Instituir a Política de Tratamento e Proteção de Dados Pessoais do Tribunal Regional Eleitoral de Sergipe (TRE-SE) na forma que segue.

Art. 2º A Política de Tratamento e Proteção de Dados Pessoais estabelece os conceitos, princípios, diretrizes e procedimentos, assim como define os responsáveis pelas ações de tratamento e proteção de dados pessoais no âmbito do TRE-SE, a fim de garantir a privacidade de seus titulares, em conformidade com o previsto na Lei Geral de Proteção de Dados Pessoais (LGPD).

Seção I

Dos Conceitos

Art. 3º Para o disposto nesta Resolução, considerem-se os seguintes conceitos:

I – informação: fonte ou produto de processo de conhecimento, por qualquer meio, formato ou suporte;

II – dado pessoal: informação relativa a pessoa natural identificada ou identificável;

III – dado pessoal sensível: dado pessoal genético ou biométrico ou sobre origem racial ou étnica, saúde, vida sexual, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política;

IV – dado pessoal anonimizado: dado pessoal que não identifica seu titular, nem permite sua identificação por qualquer meio ou em qualquer formato ou suporte disponíveis na ocasião de seu tratamento;

V – privacidade: esfera privada da vida de pessoa natural;

VI – titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento;

VII – fluxo de tratamento: sequência de ações de manuseio e transmissão de dados pessoais;

VIII – ciclo de vida: conjunto de etapas em que ocorrem ações de tratamento de dados pessoais;

IX – Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão vinculado à Presidência da República, ao qual caberá fiscalizar a aplicação da LGPD e aplicar sanções em caso de descumprimento de suas determinações;

X – Controlador: responsável por esta Política e pelo Programa de Tratamento e Proteção de Dados Pessoais, exerce autoridade sobre as ações de tratamento e proteção de dados pessoais e os respectivos responsáveis;

XI – Encarregado: responsável pela comunicação entre o TRE-SE, a ANPD e os titulares de dados pessoais e pela orientação dos demais responsáveis quanto à aplicação adequada da legislação de regência, desta Política e do Programa de Tratamento e Proteção de Dados Pessoais, assim como das boas práticas de tratamento e proteção de dados pessoais;

XII – Comitê Gestor de Tratamento e Proteção de Dados Pessoais: responsável pela implementação desta Política e do Programa de Tratamento e Proteção de Dados Pessoais, coordena a supervisão das ações de tratamento e proteção de dados pessoais;

XIII – Gestores de Dados Pessoais: responsáveis pela supervisão das ações de tratamento e proteção de dados pessoais;

XIV – Gestor de Segurança de Dados Pessoais: responsável pela identificação e resposta a situações de vulnerabilidade e incidente de violação nas ações de tratamento e proteção de dados pessoais;

XV – Operador: responsável por ação de tratamento e/ou proteção de dados pessoais;

XVI – política: definição de determinado objetivo institucional e dos respectivos conceitos, princípios, diretrizes, procedimentos e responsáveis;

XVII – programa: conjunto articulado de projetos, planos, processos e ações para atingir determinado objetivo institucional, de acordo com a política que o define; e

XVIII – gestão de riscos: processo contínuo e integrado de ações de identificação e avaliação de situação de vulnerabilidade e elaboração e execução de plano de resposta a incidente de violação de políticas e programas.

Seção II

Dos Princípios

Art. 4º Toda ação de tratamento e proteção de dados pessoais deve observar os seguintes princípios:

I – boa-fé: convicção de que a ação de tratamento e/ou proteção é realizada em conformidade à legislação de regência, à moralidade administrativa e à ética profissional;

II – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

III – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

IV – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

V – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

VI – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VII – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VIII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

IX – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

X – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

XI – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Seção III

Das Diretrizes

Art. 5º Para conformar as ações de tratamento e proteção de dados pessoais no âmbito do TRE-SE à LGPD, deverão ser consideradas as seguintes diretrizes:

I – elaboração do Programa de Tratamento e Proteção de Dados Pessoais, contendo o Inventário de Dados Pessoais, do qual constará, no mínimo, o tipo de dado pessoal, ambiente de tratamento e responsável pelas ações de tratamento e proteção, os respectivos fluxo de tratamento e ciclo de vida; o Relatório de Impacto, do qual constará, no mínimo, o Plano de Gestão de Riscos e o Plano de Resposta a Incidente de Violação; o Plano Geral e, se necessário, Planos Setoriais de Ações;

II – definição de procedimentos que garantam a confiabilidade e a integridade dos dados pessoais em todo seu fluxo de tratamento e durante todo seu ciclo de vida;

III – padronização de informações que envolvam dados pessoais, com a utilização de dados pessoais anonimizados, quando possível;

IV – elaboração de modelos e formulários de termos de ciência de tratamento e proteção e de consentimento para disponibilização de dados pessoais, quando necessário; e

V – adequação dos normativos, documentos e sistemas informatizados à legislação de referência.

Seção IV

Dos Procedimentos

Art. 6º O TRE-SE realizará o tratamento de dados pessoais, necessário e imprescindível à execução de suas funções jurisdicional e administrativa, garantida a privacidade dos titulares.

Art. 7º O TRE-SE divulgará, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu website e em suas redes sociais, as seguintes informações:

I – esta Política e o Programa de Tratamento e Proteção de Dados Pessoais;

II – informações básicas da LGPD, incluindo os requisitos para o tratamento e a proteção de dados pessoais, as obrigações do Controlador e os direitos dos titulares;

III – identificação e contatos do Controlador e do Encarregado;

IV – canais e formas de comunicação com o Encarregado, bem como formulários para o exercício de direitos dos titulares de dados pessoais;

V – política de privacidade para navegação no website do TRE-SE em relação à LGPD e à Lei 12.965/2014 (Marco Civil da Internet); e

VI – registros de tratamentos de dados pessoais contendo, entre outras, informações sobre: (a) tipo de dado pessoal e ambiente de tratamento; (b) finalidade do tratamento; (c) prazo de conservação; (d) base legal; (e) descrição dos titulares; (f) categorias de destinatários; (g) transferência internacional, se houver; (h) medidas de segurança adotadas; e (i) gestão de riscos das ações de tratamento e proteção de dados pessoais.

Art. 8º O tratamento de dados pessoais deverá ser realizado durante todo seu ciclo, englobando as seguintes atividades: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Art. 9º Os titulares de dados pessoais exercerão seus direitos de acordo com os procedimentos e prazos da LGPD e pelos canais e formas de comunicação disponíveis na Ouvidoria Eleitoral.

Seção V

Dos Responsáveis

Art. 10. A função de Controlador será exercida pelo titular ou substituto da Presidência do TRE-SE, competindo-lhe, especialmente:

I – designar o Encarregado, o Comitê Gestor de Tratamento e Proteção de Dados Pessoais e o Gestor de Segurança de Dados Pessoais;

II – aprovar o Programa de Tratamento e Proteção de Dados Pessoais, baseando-se em metodologias e instrumentos de governança, gestão de riscos e segurança da informação, a fim de que os fluxos de tratamento de dados pessoais, durante todo o seu ciclo de vida, sejam permanente e plenamente auditáveis;

III – instruir os operadores para a realização de ações de tratamento e proteção de dados pessoais, verificando a conformidade dessas ações à legislação de regência e as boas práticas da área, assim como a esta Política e ao respectivo Programa;

IV – revisar e aperfeiçoar esta Política e o Programa de Tratamento e Proteção de Dados Pessoais, quando necessário; e

V – disseminar a cultura da proteção de dados pessoais.

Art. 11. A função de Encarregado será exercida por pessoa com conhecimento e experiência na legislação de regência e nas boas práticas de tratamento e proteção de dados pessoais e será designada pelo Controlador, competindo-lhe, especialmente:

I – receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;

II – prestar as informações solicitadas pelos titulares de dados pessoais, bem como comunicar-lhes a ocorrência e resposta a incidente de violação de privacidade;

III – dar ampla publicidade à Política e ao Programa de Tratamento e Proteção de Dados Pessoais e a instrumentos normativos congêneres, assim como divulgar informações de interesse público sobre o tema;

IV – orientar os demais responsáveis quanto à aplicação adequada da legislação de regência e às boas práticas de tratamento e proteção de dados pessoais; e

V – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Art. 12. O Comitê Gestor de Tratamento e Proteção de Dados Pessoais é subordinado diretamente ao Controlador e será composto pelo titular ou substituto da Diretoria-Geral e da Assessoria Jurídica, pelos Gestores de Dados Pessoais, pelo Gestor de Segurança de Dados Pessoais e pelo Gestor de Segurança da Informação, competindo-lhe, especialmente:

I – auxiliar o Controlador e o Encarregado a desempenharem suas funções;

II – implementar esta Política;

III – elaborar e, após a aprovação pelo Controlador, implementar o Programa de Tratamento e Proteção de Dados Pessoais; e

IV – coordenar a supervisão das ações de tratamento e proteção de dados pessoais.

§ 1º O Encarregado poderá participar, por iniciativa própria ou a convite, das reuniões e deliberações do Comitê Gestor de Tratamento e Proteção de Dados Pessoais.

§ 2º Quanto ao Gestor de Segurança da Informação, citado no caput deste artigo, observar-se-á o disposto na Política de Segurança da Informação e instrumentos normativos correlatos.

Art. 13. São Gestores de Dados Pessoais os titulares ou substitutos da Ouvidoria Eleitoral, das Secretarias, da Coordenadoria da Corregedoria Regional Eleitoral, da Assessoria de Juízes Membros e da Assessoria de Imprensa e Comunicação Social, competindo-lhes, especialmente:

I – coordenar a implementação, no âmbito de sua atuação, do Plano Geral e dos Planos Setoriais; e

II – supervisionar, direta e cotidianamente, as ações de tratamento e proteção, conforme o quadro abaixo:

 

Art. 14. A função de Gestor de Segurança de Dados Pessoais será exercida por servidor(a) efetiva(o) com conhecimento e experiência na área negocial e na legislação de regência e será designado pelo Controlador, competindo-lhe, especialmente:

I – elaborar, com o auxílio dos Gestores de Dados Pessoais, o Relatório de Impacto e submetê-lo ao Comitê Gestor e, após aprovação pelo Controlador, coordenar e supervisionar sua implementação; e

II – executar ou orientar a execução de resposta a incidente de violação.

 

Art. 15. Os Gestores de Dados Pessoais e o Gestor de Segurança de Dados Pessoais apresentarão, periódica e regularmente, relatórios de suas atividades, bem como comunicarão, oportuna e prontamente, qualquer situação de vulnerabilidade ou incidente de violação ao Comitê Gestor de Tratamento e Proteção de Dados Pessoais, que os reportará ao Controlador e ao Encarregado.

 

Art. 16. A função de Operador poderá ser exercida por magistrado, servidor e colaborador (estagiário ou terceirizado) ou por empresa contratada, nos termos e limites de suas atribuições, competindo-lhe, especialmente:

I – proteger a privacidade dos dados pessoais a que tenham acesso durante sua participação no fluxo de tratamento;

II – limitar a manipulação dos dados pessoais ao mínimo necessário para a consecução da tarefa que lhes cabe; e

III – documentar as operações que efetuarem, narrando suas ações e descrevendo os tipos de dados pessoais e ambientes de tratamento a que tenham acesso.

§ 1º O Operador será supervisionado pelo respectivo Gestor de Dados Pessoais, conforme o quadro constante do inc. II art. 13, e/ou pelo Gestor de Segurança de Dados Pessoais.

§ 2º Quando o Operador for magistrado, o Comitê Gestor de Tratamento e Proteção de Dados Pessoais reportará a supervisão ao Controlador, que adotará as providências que julgar pertinentes.

Art. 17. A ocorrência de incidente de violação será tratada em conformidade com o Plano de Resposta a Incidente de Violação, comunicando-se prontamente ao Encarregado e oportunamente à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular.

Parágrafo único. Em caso de dano, os diretamente envolvidos serão responsabilizados nos termos da legislação de regência.

Seção VI

Das Disposições Finais

Art. 18. Esta Política será revisada e aperfeiçoada permanentemente, quando necessário adequá-la à legislação de regência e às boas práticas da área.

Art. 19. As informações protegidas por sigilo continuam resguardadas pela legislação de regência a elas relacionada.

Art. 20. As omissões e os conflitos de interesse serão dirimidos pelo Comitê Gestor de Tratamento e Proteção de Dados Pessoais, com recurso para o Controlador.

Art. 21. Esta Resolução entra em vigor na data de sua publicação.

Sala de Sessões do Tribunal Regional Eleitoral de Sergipe, aos 13 dias do mês de novembro de 2020.

DES. JOSÉ DOS ANJOS

Presidente do TRE/SE

DESA. IOLANDA SANTOS GUIMARÃES

Vice-Presidente e Corregedora Regional Eleitoral

JUIZ GILTON BATISTA BRITO

JUIZ LEONARDO SOUZA SANTANA ALMEIDA

JUIZ EDIVALDO DOS SANTOS

JUIZ RAYMUNDO ALMEIDA NETO