A partir da entrada em vigor da maior parte da LGPD em 18 de setembro de 2020, o Judiciário passou a regulamentar a sua aplicação nas atividades internar (administrativas e judiciárias), o que também levou o Conselho Nacional de Justiça a uniformizar a matéria.
Em primeiro lugar, no dia 24 de agosto de 2020 foi publicada a Recomendação nº 73/2020 do Conselho Nacional de Justiça, que contém orientações a todos os tribunais do país (exceto para o STF) sobre a adoção de medidas preparatórias para a adequação do Judiciário à LGPD.
Em 21 de setembro o CNJ publicou a Resolução nº 334/2020, que instituiu o Comitê Consultivo de Dados Abertos e Proteção de Dados no âmbito do Poder Judiciário.
Mais recentemente, em 15 de dezembro de 2020 o CNJ aprovou a Resolução nº 363/2021, que contém as medidas necessárias para o processo de adequação à Lei Geral de Proteção de Dados Pessoais, a ser adotadas pelos tribunais do país (com exceção do Supremo Tribunal Federal).
A Resolução aprovada pelo Conselho Nacional de Justiça no dia 15 de dezembro de 2020 define treze medidas em seu art. 1º para ser adotadas em todos os tribunais do país (com exceção do STF), com o objetivo de permitir a adequação à LGPD:
(a) a criação do Comitê Gestor de Proteção de Dados Pessoais (CGPD) em cada tribunal, com caráter multidisciplinar, que será o órgão responsável pelo processo de implantação da LGPD (na primeira e segunda instâncias, além dos tribunais superiores);
(b) a designação do encarregado pelo tratamento de dados pessoais;
(c) a formação de um Grupo de Trabalho Técnico, com caráter multidisciplinar (composto por servidores das áreas de tecnologia, segurança da informação e jurídica, entre outras), para auxiliar o encarregado no desempenho de suas funções;
(d) a elaboração, por meio de canal do encarregado (ou em parceria com a ouvidoria do tribunal): (d.1) de um formulário eletrônico ou de um sistema para atendimento das requisições e/ou reclamações apresentadas pelos titulares dos dados pessoais; (d.2) e de um fluxo para atendimento aos direitos dos titulares, da apresentação das requisições e/ou reclamações até a prestação da resposta;
(e) a criação de uma seção dentro do site do tribunal contendo informações sobre a aplicação da LGPD na Corte, que deve conter em seu conteúdo mínimo: (e.1) as bases legais utilizadas para o tratamento de dados pessoais; (e.2) os deveres dos controladores e os direitos dos titulares (de acordo com o art. 1º, II, ‘a’, da Recomendação nº 73/2020 do CNJ; (e.3) e as informações sobre o encarregado (nome, endereço e e-mail para contato);
(f) a disponibilização de informações adequadas sobre o tratamento de dados pessoais, por meio de: (f;1) avisos de cookies no portal institucional do tribunal; (f;2) política de privacidade para navegação na página da instituição; (f;3) e política geral de privacidade e proteção de dados pessoais a ser aplicada internamente em cada tribunal e supervisionada pelo Comitê Gestor de Proteção de Dados Pessoais;
(g) a criação dos assuntos suplementares “proteção de dados pessoais” e “privacidade” nas tabelas processuais, para facilitar a distribuição e o controle das demandas relacionadas à proteção de dados, ao respeito à privacidade e à LGPD;
(h) a determinação de análise pelos serviços extrajudiciais sobre a adequação de suas atribuições à LGPD;
(i) a organização de um programa de conscientização sobre a LGPD, destinado a magistrados, servidores, terceirizados, estagiários e residentes judiciais, das áreas administrativas e judiciárias de primeira e segunda instâncias;
(j) a revisão de todos os modelos de minutas de contratos e convênios em vigor que autorizem o compartilhamento de dados com terceiros, e a elaboração de orientações para a adequação das contratações futuras à LGPD, a partir dos seguintes critérios: (j.1) cada operação de tratamento de dados pessoais deve conter uma finalidade específica, vinculada ao interesse público e apoiada em uma regra de atribuição administrativa aplicável ao caso; (j.2) o tratamento de dados pessoais previsto no ato deve ser compatível com a finalidade especificada e necessário para a sua realização; (j.3) a inclusão de cláusulas de eliminação de dados pessoais nos contratos, convênios e instrumentos congêneres, observados os princípios da finalidade e da necessidade; (j.4) e a elaboração do relatório de impacto de proteção de dados pessoais previamente ao contrato ou convênio, observado o princípio da transparência;
(k) a implantação de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, por meio da: (k.1) elaboração de política de segurança da informação, que contenha um plano de resposta a incidentes (art. 48 da LGPD), e a previsão de adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços (art. 46, § 1º, da LGPD); (k.2) avaliação dos sistemas e dos bancos de dados em que houver tratamento de dados pessoais, com a submissão dos resultados à apreciação do CGPD para as devidas deliberações; (k.3) avaliação da segurança de integrações de sistemas; (k.4) análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros;
(l) a elaboração e a manutenção dos registros de tratamentos de dados pessoais, com informações sobre a finalidade do tratamento, a base legal; a descrição dos titulares, as categorias de dados, as categorias de destinatários, a eventual transferência internacional; o prazo de conservação e as medidas de segurança adotadas (art. 37 da LGPD);
(m) e a prestação de informações ao Comitê Gestor de Proteção de Dados Pessoais sobre a existência de projetos de automação e inteligência artificial, com a elaboração do relatório de impacto à proteção de dados pessoais relativo aos critérios e direitos previstos na LGPD (art. 6º, VI e IX, e art. 20).
Na sequência, o art. 2º da Resolução estabelece três ações mínimas que os tribunais devem observar para a implantação da LGPD:
(1) a realização do mapeamento de todas as atividades de tratamento de dados pessoais, por meio do modelo de questionário a ser elaborado pelo CNJ;
(2) a realização da avaliação das vulnerabilidades (gap assessment) para o diagnóstico das lacunas existentes na proteção de dados pessoais;
(3) e a elaboração de um plano de ação (roadmap), com a previsão de execução de todas as atividades previstas na Resolução.
Portanto, trata-se de uma Resolução com conteúdo de Recomendação, porque não regulamenta a aplicação da LGPD no Judiciário, mas contém regras gerais que orientam os tribunais a adequarem as suas atividades à Lei Geral de Proteção de Dados Pessoais (de modo similar à Recomendação nº 73/2020 do CNJ), como a criação do Comitê Gestor e do Grupo de Trabalho, a inclusão do portal de proteção de dados na internet, a revisão de atos e contratos, a documentação das atividades de tratamento e a adoção de ações mínimas para o cumprimento adequado das normas legais.
Artigo também publicado no Jusbrasil (clique aqui) e no Jus Navigandi (clique aqui).