SEI/CJF - 0674248

JUSTIÇA FEDERAL

CONSELHO DA JUSTIÇA FEDERAL

O PRESIDENTE DO CONSELHO DA JUSTIÇA FEDERAL, no uso de suas atribuições legais, tendo em vista o disposto no Processo n. 0000169-30.2021.4.90.8000,

Art. 1º A Política de Proteção de Dados Pessoais – PPDP, no Conselho da Justiça Federal – CJF, obedece ao disposto nesta Portaria.

Art. 2º A PPDP visa garantir a gestão sistemática e efetiva dos aspectos relacionados à proteção de dados pessoais e direitos das(os) titulares.

Art. 3º O tratamento de dados pessoais a ser realizado pelo CJF, no desempenho de suas competências e atribuições constitucionais, legais e regulamentares, deve estar em consonância com a finalidade pública.

Art. 4º A realização de tratamento de dados pessoais deve ter como base legal as hipóteses previstas no art. 7º da Lei n. 13.709, de 14 de agosto de 2018 (LGPD).

§1º No tratamento a que se refere o caput deste artigo, o CJF utilizará como base legal, preferencialmente, as seguintes hipóteses, independentemente do consentimento das(os) titulares de dados:

I - cumprimento de obrigação legal ou regulatória, com indicação específica do dispositivo que necessita do tratamento de dados pessoais para ser cumprido; e

II - tratamento e uso compartilhado, pela Administração Pública, de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições da Lei Geral de Proteção de Dados – LGPD acerca do tratamento de dados pessoais pelo Poder Público.

§ 2º Excetuados os casos de que trata o parágrafo anterior, a utilização como base legal das demais hipóteses a que se refere o caput deste artigo dependerá de demonstração motivada com as razões para a sua adoção.

§ 3º As contratações com terceiros para fornecimento de produtos ou prestação de serviços devem ser fundamentadas em contratos que disciplinam a proteção de dados pessoais.

§ 4º Nas atividades administrativas não vinculadas diretamente às obrigações legais e ao exercício das competências legais e constitucionais, o CJF deve obter o consentimento das(os) titulares para tratar dados pessoais, sempre respeitando e concretizando a autodeterminação informativa das(os) envolvidas(os).

§ 5º No caso de dados pessoais sensíveis, o tratamento será realizado com base nas disposições da LGPD.

§ 6º O tratamento de dados pessoais de crianças e adolescentes deverá observar prioritariamente o princípio do melhor interesse e assegurar sua máxima proteção, garantindo-lhes a salvaguarda dos direitos e a preservação da privacidade:

I - para fins dessa política, considera-se criança a pessoa de até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade;

II - quando o tratamento de dados de criança for amparado na hipótese de consentimento, esse deverá ser específico e destacado por pelo menos um dos pais ou pela(o) responsável legal; e

III - o CJF disponibilizará informações sobre o tratamento de dados de crianças e de adolescentes, de maneira simples, clara e acessível, a fim de proporcionar o pleno entendimento por parte das(os) titulares e dos pais ou responsáveis legais.

Art. 5º A unidade que realizar tratamento de dados pessoais amparado no consentimento ficará responsável por sua obtenção e seu gerenciamento, a fim de garantir a efetividade do exercício do direito da(o) titular.

Art. 6º Quando da utilização do legítimo interesse do CJF para tratamento de dados pessoais, deverão ser:

I - consideradas, além das disposições do art. 10 da LGPD, situações que envolvam a aproximação com a sociedade, a preservação histórica, a governança e gestão sobre o quadro próprio de pessoal, a manutenção da independência e imparcialidade, a defesa das competências e atribuições e a segurança institucional (que compreende ativos, informações, patrimônio, autoridades, servidoras, servidores, colaboradoras e colaboradores do Órgão); e

II - observados, além da legislação vigente, os princípios e direitos da(o) titular mencionados nos arts. 6º e 9º da LGPD.

Parágrafo único. A utilização do legítimo interesse como base legal dependerá de motivação expressa da área responsável pelo tratamento de dados pessoais quanto ao equilíbrio entre o interesse da instituição e o da(o) titular dos dados, devendo a(o) encarregada(o) ser consultada(o).

Art. 7º A gestora ou o gestor do sistema de informação solicitará, quando couber, a implementação de trilhas de auditoria referentes ao tratamento de dados pessoais.

Art. 8º Os direitos da(o) titular de dados pessoais tratados no CJF poderão ser exercidos mediante manifestação registrada na Ouvidoria, em formulário eletrônico, que o receberá e o encaminhará à(ao) encarregada(o) para deliberação.

Art. 9º As(os) usuárias(os) fornecerão os dados pessoais necessários ao cadastro, ao credenciamento, à identificação e à autenticação de sistemas e serviços disponibilizados pelo CJF, inclusive para exercício dos direitos de titular.

Art. 10 Os direitos da(o) titular relativos a dados pessoais constantes de base de dados custodiada pelo CJF serão exercidos junto à(ao) proprietária(o) da base de dados.

Parágrafo único. O CJF divulgará quais bases de dados custodia, com indicação das(os) respectivas(os) proprietárias(os).

Art. 11 Os direitos da(o) titular de dados pessoais previstos na LGPD, em qualquer caso, serão ponderados com o interesse público de conservação de dados históricos, o fomento ao controle social, a preservação da transparência da instituição e das condutas de agentes públicos no exercício de suas atribuições, e com a divulgação de informações relevantes à sociedade.

Art. 12 Nos pedidos de acesso à informação e respectivos recursos, as decisões que tratam da publicidade de dados pessoais serão fundamentadas nos arts. 3º e 31 da LAI, considerando:

I - a especificidade da Lei de Acesso à Informação – LAI em relação ao Poder Público para regular aspectos de transparência e acesso à informação;

II - o não estabelecimento, pela LGPD, de hipóteses de sigilo para a Administração Pública e nem contra esta; e

III - a restrição do acesso a quaisquer dados pessoais relativos à intimidade, vida privada, honra e imagem das pessoas, nos termos do art. 31 da LAI.

Parágrafo único. A aplicação da LAI e da LGPD deve ocorrer de forma integrada, tendo por premissa a compatibilidade entre os comandos legais.

Art. 13 O CJF poderá transferir dados pessoais constantes de suas bases de dados a pessoas jurídicas de direito privado nos seguintes casos, sem prejuízo de outros previstos em legislação específica:

I - de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na LAI;

II - em que os dados forem acessíveis publicamente, observadas a finalidade, a boa-fé e os direitos do titular;

III - em que houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres comunicados à Autoridade Nacional de Proteção de Dados – ANPD; ou

IV - em que a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou a proteção e o resguardo da segurança e da integridade do titular dos dados, sendo vedado o tratamento para outras finalidades.

Parágrafo único. A pessoa jurídica de direito privado receptora dos dados pessoais será qualificada como operadora, consoante o estabelecido no art. 5º, inciso VII, da LGPD.

Art. 14 O compartilhamento de dados pessoais com outras instituições públicas observará o disposto na legislação vigente e em regulamentação específica do CJF.

Art. 15. A controladora ou o contralador manterá catálogo dos dados pessoais compartilhados com terceiros.

Art. 16 A controladora de dados pessoais, nos termos do art. 5º, inciso VI, da LGPD, é a União, assumindo o CJF atribuições de controlador mediante o processo de desconcentração administrativa e considerando as respectivas competências constitucionais, legais e regulamentares.

Parágrafo único. O exercício da função de controlador, no Conselho da Justiça Federal, é atribuído à(ao) Ministra(o) Presidente.

Art. 17 À controladora ou ao controlador compete, além das obrigações previstas nos arts. 37 a 40 da Lei n. 13.709/2018 – LGPD:

III - deliberar sobre recursos administrativos relativos à proteção de dados pessoais.

Art. 18 É operadora, nos termos do art. 5º, inciso VII, da LGPD, no CJF, a pessoa natural ou jurídica, de direito público ou privado, que realizar tratamento de dados pessoais em nome do Conselho.

Art. 19 As(os) fornecedoras(es) de produtos ou serviços, ao tratarem os dados pessoais a elas(es) confiadas(os) pelo CJF, serão consideradas(os) operadoras(es) e deverão submeter-se à política estabelecida por esta Portaria, cumprir os deveres e as obrigações legais e contratuais aplicáveis, além de:

I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais definidas pelo CJF;

II - apresentar evidências e garantias suficientes de que aplicam medidas técnicas e administrativas adequadas de segurança para a proteção de dados pessoais, nos termos definidos em legislação, em normas administrativas do CJF e nos respectivos instrumentos contratuais;

III - manter os registros de tratamento de dados pessoais que realizarem, de forma a oferecer condições de rastreabilidade e a fornecer prova eletrônica a qualquer tempo;

V - facultar acesso a dados pessoais somente para pessoas que tenham obtido autorização, a qual será concedida apenas a quem tenha estrita necessidade de conhecer tais dados e que tenha assumido compromisso formal de preservar a segurança dos dados, devendo a prova do compromisso estar disponível em caráter permanente para apresentação ao órgão quando solicitado;

VI - permitir a realização de auditorias e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

VII - auxiliar, sempre que demandado, no atendimento pela(o) respectiva(o) contratante, de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outras(os) interessadas(os) com previsão legal;

VIII - comunicar formalmente e de imediato à(ao) encarregada(o) do CJF a ocorrência de qualquer incidente de segurança que possa acarretar risco, comprometimento ou dano potencial ou efetivo a titular de dados pessoais; e

IX - descartar de forma irrecuperável ou devolver para a(o) contratante, todos os dados pessoais e as respectivas cópias existentes, após o cumprimento da devida finalidade ou após o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

§ 1º No caso dos contratos de terceirização de mão-de-obra, o CJF e a(o) contratada(o) assumirão a controladoria conjunta no que se refere aos dados das(os) colaboradoras(es) terceirizadas(os), ficando cada controladora ou controlador responsável pelos tratamentos de dados pessoais que realizar e pelas consequências daí advindas.

§ 2º No caso de contratação de banca examinadora para realização de concursos públicos, o CJF e a(o) contratada(o) assumirão a controladoria conjunta no que se refere aos dados das(os) candidatas(os), ficando cada controladora ou controlador responsável pelos tratamentos de dados pessoais que realizar e pelas consequências daí advindas.

Art. 20 A(o) encarregada(o) atuará como canal de comunicação entre o CJF, as(os) titulares dos dados e a ANPD, bem como com outras organizações com atuação na proteção de dados pessoais com as quais o CJF estabeleça acordo de serviço ou de cooperação técnica, sendo indicada(o) pela(o) respectiva(o) presidente, observadas as regras e os requisitos do Conselho para o exercício de função comissionada ou de cargo em comissão.

Art. 21 O exercício da função de encarregada(o), no CJF, é atribuído à(ao) Secretária(o)-Geral, que deverá observar, além de normas complementares, as disposições do art. 41 da Lei n. 13.709/2018 e da Resolução CNJ n. 363/2021.

I - receber reclamações e comunicações da(os) titulares, prestar esclarecimentos e adotar as providências cabíveis;

II - receber comunicações da autoridade nacional e adotar providências cabíveis;

III - orientar autoridades, servidoras(es), colaboradoras(es) do CJF a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais ações para implantar a LGPD, no CJF, com apoio das unidades administrativas, do grupo de trabalho técnico, previsto no inciso III do art. 1º da Resolução CNJ n. 363/2021, ouvida(o) a Corregedora-Geral ou o Corregedor-Geral da Justiça Federal nos assuntos de sua competência e das atribuições e atividades das unidades que lhe são vinculadas.

Parágrafo único. A orientação prevista no inciso III do caput deste artigo será considerada de natureza técnica e publicada internamente de forma permanente e cumulativa.

Art. 23 O Comitê Gestor de Proteção de Dados Pessoais – CGPD, objeto da Resolução CNJ n. 363/2021, é exercido pelo Comitê Gestor Institucional do CJF – CGI-CJF, com as atribuições previstas no art. 8º da Resolução CJF n. 668/2021.

Art. 24 O CJF implementará medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do capítulo VII da LGPD.

§ 1º A implementação de medidas de segurança referentes a ativos de Tecnologia da Informação – TI seguirá a priorização definida no Plano Diretor de Tecnologia da Informação – PDTI ou pelo Comitê de Governança de Tecnologia da Informação e Comunicação.

§ 2º As unidades do CJF são responsávis pela elaboração do Relatório de Impacto à Proteção de Dados Pessoais – RIPD – quando da adaptação dos processos de trabalho e sistemas à LGPD ou quando do tratamento de dados pessoais que envolvem alto risco à(ao) titular –, e do mapa de processos e de dados tratados, bem como pela adoção de controles.

§ 3º A elaboração do RIPD pode ser realizada com apoio da unidade responsável pela coordenação da segurança da informação e da proteção de dados pessoais do CJF, bem como com a consultoria do Comitê de Segurança da Informação da Justiça Federal – CSI-Jus e/ou da respectiva Comissão Local de Segurança da Informação – CLSI, instituídas pela Resolução CJF n. 6/2008, que dispõe sobre a Política de Segurança da Informação do Conselho e da Justiça Federal de 1º e 2º graus.

Art. 25 O Comitê de Governança de Tecnologia da Informação e Comunicação do CJF, conforme definido no art. 7º da Resolução CNJ n. 370/2021, informará às instâncias internas competentes a respeito de aspectos e de fatos significativos para a integridade dos sistemas de informação utilizados.

Art. 26 As boas práticas adotadas para a proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas, a fim de disseminar a cultura protetiva e de transparência, com conscientização e sensibilização das(os) interessadas(os).

Art. 27 Os membros do CGPD e CGTI, bem como a(o) encarregada(o) do órgão, deverão informar e ser informados sobre os incidentes envolvendo dados pessoais.

Art. 28 Em caso de incidente de segurança que envolva dados pessoais e que possa acarretar risco ou dano relevante às(aos) titulares, será dada prioridade à contenção do incidente e informada a ANPD, em prazo estipulado pela autoridade nacional.

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;

V - as medidas que foram, ou que serão, adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A comunicação será realizada pela(o) Presidente do CJF, após proposta da(o) encarregada(o) de dados.

Art. 29 Caso a ANPD, no exercício de suas competências legais, preveja prazos diversos dos estabelecidos nesta Portaria, prevalecerão aqueles definidos pela autoridade nacional.

Documento assinado eletronicamente por Juiz Federal Erivaldo Ribeiro dos Santos, Secretário-Geral do Conselho da Justiça Federal, em 10/02/2025, às 18:31, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.

A autenticidade do documento pode ser conferida no site https://sei.cjf.jus.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 0674248 e o código CRC C8C307A5.