Com a indefinição acerca da entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) – e o iminente final do prazo para a conversão da MP 959/2020 em lei (que, entre outras disposições, prorrogou o início da vigência da maior parte da LGPD para 3 de maio de 2021) –, a adaptação às suas normas passou novamente a ser objeto de preocupação no país.
Entre as medidas recentes, no dia 24 de agosto de 2020 foi publicada a Recomendação nº 73/2020 do Conselho Nacional de Justiça, que contém orientações a todos os tribunais do país (exceto para o STF) sobre a adoção de medidas preparatórias para a adequação do Judiciário à aplicação da LGPD.
Recorda-se que a incidência da LGPD nos processos judiciais tem quatro fundamentos:
(a) o art. 3º, I, da LGPD, que positiva como regra o princípio da territorialidade, em virtude do qual a lei se aplica a qualquer tratamento de dados pessoais realizado no território nacional (por pessoa natural ou jurídica, de direito público ou privado);
(b) o art. 4º da LGPD, que contém as hipóteses de não incidência da lei, que compreendem em seu inciso III o tratamento de dados para os fins exclusivos de segurança pública, defesa nacional e segurança do Estado (o que, em regra, não abrange litígios judiciais), além das atividades de investigação e repressão de infrações penais (desse modo, a LGPD afasta expressamente a sua observância nos inquéritos policiais e nos processos criminais, o que significa que incide nos processos judiciais cíveis, isto é, em todos os processos sobre matéria não penal);
(c) o art. 7º da LGPD, que lista os fundamentos que justificam o tratamento de dados (com ou sem o consentimento do titular), e prevê, no inciso VI, o exercício regular de direitos em processo judicial, administrativo ou arbitral (logo, o tratamento de dados nos processos judiciais cíveis independe do consentimento do titular);
(d) e, ainda que não existisse a previsão legal expressa, os atos processuais são, em regra, públicos (art. 93, IX, da Constituição, e arts. 11 e 189 do Código de Processo Civil), portanto, os dados pessoais fornecidos nos processos e referidos nas decisões judiciais e em outros atos processuais podem ser livremente capturados na internet e utilizados por terceiros, com fins econômicos ou não. Por isso, é necessária a regulamentação específica do assunto pelo Judiciário, a fim de evitar a captura e o tratamento ilícito dos dados pessoais, o que pode gerar consequências e sanções decorrentes da publicização indevida de determinados dados.
Além disso, a LGPD traz diversas consequências administrativas aos tribunais, na definição dos agentes de tratamento de dados (controlador e operador) e do encarregado, na revisão de contratos administrativos, na alteração de políticas de privacidade em seus sistemas eletrônicos, na elaboração de planos de ação, entre outras.
Assim, a Recomendação nº 73/2020 do Conselho Nacional de Justiça contém quatro medidas gerais a ser adotadas pelos tribunais, no prazo de 90 dias:
1) A criação de um Grupo de Trabalho para realizar o estudo e a identificação das medidas necessárias à implantação da Lei Geral de Proteção de Dados no tribunal, com a elaboração de relatório a ser enviado ao Conselho Nacional de Justiça, como apoio na elaboração da política nacional para o Judiciário pelo CNJ;
2) A elaboração de um Plano de Ação que tenha, como conteúdo mínimo, a definição de objetivos, cronogramas e prazos para a definição de normas acerca da organização e comunicação, dos direitos do titular, da gestão de consentimento, da retenção de dados e cópia de segurança, dos contratos e do plano de respostas a incidentes de segurança com dados pessoais;
3) A disponibilização, em suas páginas na internet, de informações apresentadas de modo ostensivo e de fácil acesso aos usuários, acerca da aplicação da Lei Geral de Proteção de Dados aos tribunais (inclusive sobre os requisitos para o tratamento legítimo de dados, as obrigações dos controladores e os direitos dos titulares), bem como de um formulário para o exercício de direitos dos titulares de dados pessoais;
4) A elaboração ou a adequação (seguida da publicação atualizada nas páginas dos tribunais na internet, de modo ostensivo e de fácil acesso aos usuários) da política de privacidade para a navegação no website do tribunal, que deve observar:
4.1) os princípios e as regras da Lei Geral de Proteção de Dados Pessoais e do art. 7º, VIII, da Lei nº 12.965/2014 (Marco Civil da Internet), acerca das informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, além da observância de sua finalidade;
4.2) os registros de tratamentos de dados pessoais com informações sobre, no mínimo, a finalidade do tratamento dos dados, os seus fundamentos legais, a descrição dos titulares, as categorias de dados pessoais, as categorias de destinatários, a transferência internacional, o prazo de conservação, as medidas de segurança adotadas e a política de segurança da informação.
Desse modo, a Recomendação nº 73/2020 do CNJ, ainda que seja uma medida inicial para a definição da regulação da aplicação da LGPD ao Poder Judiciário, deixa claro que os tribunais devem se adaptar para a observância da Lei Geral de Proteção de Dados, o que compreende a alteração de regras e rotinas administrativas, judiciárias e de segurança da informação.
Essa adaptação parte da publicidade ampla das orientações aos usuários externos sobre as alterações a ser promovidas e as regras da LGPD que incidirão especificamente nos serviços públicos prestados pelos tribunais, o que compreende não apenas a atividade jurisdicional, mas também a prestação de informações sobre o tratamento de dados nos websites, nos processos administrativos e judiciais e em outras hipóteses. Por exemplo, o cadastramento de partes, advogados, testemunhas (entre outras pessoas) no acesso aos fóruns e tribunais deverá passar por mudanças para se adaptar à LGPD (quem pode realizar o cadastro e ter acesso ao banco de dados, o prazo de armazenamento, regras de segurança em seu armazenamento, guarda de fotos e vídeos etc.).
Sob o aspecto interno, as mudanças abrangem a revisão de contratos administrativos e da elaboração de documentos mínimos exigidos pela LGPD, em especial do plano de respostas a incidentes.
Há, ainda, uma grande preocupação com o respeito aos direitos dos titulares de dados pessoais, o que influenciará não apenas o acesso a informações nos sites dos tribunais, mas o acesso aos sistemas informatizados (com perfis diferenciados de acesso), a consulta processual (limitação – ou não – de critérios de consulta, em especial sobre a possibilidade de pesquisa pelo nome das partes), a pesquisa nas bases de dados de decisões judiciais, a divulgação de notícias e decisões (e a preservação dos dados pessoais das partes e de outros sujeitos processuais, desde que pessoas naturais), a observância da proteção de dados em sessões de julgamento (da sustentação oral à decisão), entre outras medidas de adaptação do Judiciário à LGPD.
Artigo também publicado no Jusbrasil (clique aqui) e no Jus Navigandi (clique aqui).