Norma considera diretrizes da Lei Geral de Proteção de Dados, Lei de Acesso à Informação, legislação do Conselho Nacional de Justiça e orientação da Associação Brasileira de Normas Técnicas. Confira na íntegra:

PORTARIA N.º 2.920, DE 29 DE JULHO DE 2024

Estabelece norma complementar à Política de Segurança da Informação, que trata da classificação da informação e proteção de dados no âmbito do Tribunal de Justiça do Estado de Mato Grosso do Sul – TJMS.

O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DE MATO GROSSO DO SUL, no uso de suas atribuições legais,

CONSIDERANDO a necessidade de estabelecer diretrizes para o tratamento de dados, em conformidade com a Lei n.º 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO os preceitos da Lei n.º 12.527/2011 – Lei de Acesso à Informação (LAI), que regula o acesso à informação, em especial o inciso III do art. 6º e o inciso IV do art. 32, da aludida norma;

CONSIDERANDO a Resolução CNJ n.º 215/2015, que dispõe, no âmbito do Poder Judiciário, sobre o acesso à informação e a aplicação da Lei n.º 12.527, de 18 de novembro de 2011;

CONSIDERANDO as orientações contidas na norma ABNT NBR ISO/IEC 27002:2013, no item 8.2, quanto ao processo de classificação da informação;

CONSIDERANDO que o PJMS produz e custodia informações no exercício de suas competências, e que eventual sigilo dessas informações deve ser resguardado;

RESOLVE:

Art. 1º Instituir a Política de Classificação da Informação e Proteção de Dados do Poder Judiciário de Mato Grosso do Sul (PJMS), que dispõe sobre as diretrizes seguidas no tratamento de dados.

Art. 2º O objetivo desta Política é regulamentar a aplicação dos preceitos da LGPD e os princípios para classificação, proteção dos dados pessoais e da privacidade dos colaboradores e usuários dos serviços prestados pelo PJMS.

Parágrafo único. A classificação da informação em atos processuais judiciais observará os critérios e os procedimentos de segurança estabelecidos nas normas processuais ou matérias específicas.

Art. 3º Estão sujeitos às diretrizes estabelecidas nesta Portaria os magistrados, servidores, efetivos e comissionados, estagiários, aprendizes, auxiliares administrativos, voluntários e terceirizados;

Art. 4º Para fins do disposto nesta Política, devem ser observadas as seguintes definições:

I – CLASSIFICAÇÃO DA INFORMAÇÃO: identificação do nível de acesso dos documentos e/ou processos;

II – COLABORADORES: magistrados, servidores, estagiários, aprendizes, auxiliares administrativos, terceirizados, fornecedores, voluntários e quaisquer outros decorrentes de contrato ou instrumentos congêneres firmados com o PJMS;

III – SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

IV – DADOS CADASTRAIS: informações que contemplam dados pessoais, funcionais e dados pessoais sensíveis;

V – DADOS PESSOAIS: informação relacionada à pessoa natural identificada ou identificável, na forma da legislação vigente;

VI – DADOS PESSOAIS SENSÍVEIS: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, estado civil, dado genético ou biométrico, quando vinculado a uma pessoa natural, na forma da legislação vigente;

VII – TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto do tratamento, na forma da legislação vigente;

VIII – FINALIDADE DE USO: tratamento dos dados para propósitos legítimos e compatíveis à execução dos serviços prestados pelo PJMS e às respectivas obrigações legais;

IX – TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

X – AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil;

XI – PRESTADORES DE SERVIÇOS: empresas e fornecedores contratados para suprir materiais e serviços ao PJMS;

XII – SITE INSTITUCIONAL: endereço na internet que se refere ao sítio eletrônico no qual o PJMS disponibiliza os serviços e conteúdo à população.

Art. 5º São agentes de tratamento de dados pessoais no âmbito do PJMS:

I – CONTROLADOR: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador é o próprio PJMS;

II – OPERADOR: o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. Os operadores são todos os colaboradores necessários para prestar serviços que envolvam tratamento de dados;

III – ENCARREGADO: também conhecido pela sigla DPO (Data Protection Officer), é a pessoa indicada pelo controlador para atuar como canal de comunicação entre ele, os titulares dos dados e a ANPD.

Art. 6º A classificação dos documentos e processos deve buscar ser compatível com o grau de segurança da informação, de acordo com sua confidencialidade, integridade e disponibilidade, visando a otimizar/agilizar o processo de tratamento e reduzir os custos com sua proteção.

§ 1º O gestor de cada unidade será responsável pela classificação, guarda e descarte dos documentos e/ou processos por eles elaborados e/ou recebidos.

§ 2º Os documentos e processos, quando de sua emissão e/ou recebimento, terão seus conteúdos visualizados de acordo com os níveis de acesso a eles atribuídos, conforme a seguinte classificação:

I – PÚBLICO: acesso integral por qualquer pessoa do PJMS e/ou público externo;

II – RESTRITO: acesso de forma restrita pelas unidades definidas no momento da classificação;

III – CONFIDENCIAL: acesso exclusivo pelas pessoas especificadas no momento da classificação.

Art. 7º O PJMS implementará medidas de segurança para proteger os dados pessoais daqueles que com ele se relacionam, procurando evitar acessos indevidos e o uso inadequado ou ilícito de tais informações.

§ 1º O PJMS deve buscar estimular nos seus magistrados, servidores, demais colaboradores e prestadores de serviços a promoção da cultura de proteção dos dados pessoais e deverá zelar pela confidencialidade e pelo adequado tratamento das informações e dos dados pessoais.

§ 2º Os dados coletados e armazenados pelo PJMS têm por objetivo o cumprimento jurisdicional e o fornecimento de serviços aos seus colaboradores e público geral, e deverão ser tratados conforme os princípios estabelecidos pela LGPD e nos termos desta Política.

§ 3º O usuário poderá ser demandado por meio dos canais de comunicação institucionais a fornecer dados adicionais, mediante consentimento prévio, a fim de que sejam aperfeiçoados os instrumentos de atendimento e de acesso aos serviços do PJMS.

§ 4º O site e os aplicativos institucionais disponibilizados pelo PJMS utilizarão cookies, que são pequenos arquivos baixados pelo navegador de internet e/ou sistema eletrônico e que permitem o desempenho de algumas funcionalidades em ambiente virtual, mediante informação e aceitação prévia do usuário.

§ 5º O Serviço de Informação ao Cidadão – e-SIC, é o canal de comunicação e denúncia de irregularidades estabelecido pelo PJMS. Este serviço, em consonância com o direito constitucional de acesso à informação, assegura a todo cidadão o direito de obter informações de interesse particular ou de interesse coletivo ou geral, bem como é o meio adequado para o recebimento de dúvidas e solicitações relativas ao tratamento dos dados pessoais.

§ 6º Toda informação recebida pelo e-SIC será classificada como RESTRITA, garantindo a devida proteção e sigilo das informações nele contidas, conforme estabelecido nesta política.

§ 7º Compete ao Presidente do Tribunal de Justiça a decisão a respeito do fornecimento de qualquer informação solicitada através do canal e-SIC, considerando os preceitos desta norma.

§ 8º Os processos judiciais que sejam publicados na Revista de Jurisprudência devem ser pseudoanonimizados, tendo seus nomes substituídos por siglas, de forma a preservar a identificação dos envolvidos e garantir a privacidade, conforme as diretrizes estabelecidas na Lei Geral de Proteção de Dados Pessoais (LGPD).

§ 9º A Secretaria de Tecnologia da Informação detém a primordial responsabilidade pela preservação, guarda e controle das bases de dados informatizadas, necessárias ao desempenho das funções institucionais, administrativas, jurisdicionais e demais atribuições inerentes ao exercício competente do Poder Judiciário do Mato Grosso do Sul.

§ 10. A Secretaria de Gestão de Pessoas é a unidade responsável pelo tratamento e disponibilização dos dados pessoais e funcionais dos servidores, estagiários, aprendizes, auxiliares administrativos e voluntários.

§ 11. A Secretaria da Magistratura é a unidade responsável pelo tratamento e disponibilização dos dados pessoais e funcionais dos magistrados, juízes leigos e conciliadores.

§ 12. A Secretaria de Bens, Serviços e Patrimônio é a unidade responsável pelo tratamento e disponibilização dos dados dos colaboradores terceirizados.

§ 13. A Secretaria de Bens, Serviços e Patrimônio, quando das contratações de terceiros que tenham ou possam ter acesso à base de dados dos colaboradores ou usuários da justiça, devem inserir nos referidos contratos regras específicas sobre o tratamento, o sigilo e a confidencialidade dos dados durante a sua vigência e o descarte das informações após o seu término.

Art. 8º Os dados pessoais serão coletados, tratados e armazenados conforme os seguintes parâmetros:

§ 1º DA COLETA: Os dados do usuário podem ser coletados e tratados para a prestação de serviços judiciais, conforme as informações concedidas pelo usuário. As informações e dados do usuário serão coletados, armazenados e protegidos de acordo com os critérios e padrões de proteção e confidencialidade de segurança autorizados ou na forma da legislação vigente.

§ 2º DO ACESSO: Os dados pessoais dos usuários da justiça e colaboradores podem ser acessados pelos servidores do PJMS que deles necessitem para a realização de suas atividades. Terceiros poderão ser contratados para a prestação de determinados serviços especializados, que eventualmente poderão implicar no acesso a dados pessoais de usuários e colaboradores. Nestes casos, o PJMS deve adotar todas as medidas contratuais e operacionais para que os fornecedores e parceiros recepcionem apenas os dados pessoais indispensáveis ao serviço ou atividade a ser realizada e que mantenham alto nível de governança e proteção de dados, além de sigilo e confidencialidade.

Art. 9º As informações coletadas serão mantidas em base de dados do PJMS enquanto houver relação com o usuário, podendo estender-se além do período, para o cumprimento de obrigações legais ou interesses legítimos, de acordo com a LGPD.

Art. 10. Poderá haver compartilhamento de dados pessoais com terceiros (fornecedores e órgãos conveniados), nos casos em que sejam necessárias ou adequadas à luz da legislação aplicável, para assegurar interesses dos usuários e colaboradores, inclusive no âmbito dos contratos firmados com o PJMS, cumprimento de obrigações legais ou ordens judiciais ou para atender solicitações e demandas de autoridades públicas. Parágrafo único. Havendo o compartilhamento de dados pessoais, deverão ser adotadas todas as medidas razoáveis para a sua proteção, observadas as instruções impostas contratualmente, os preceitos da LGPD e esta Política de Classificação e Proteção de Dados, a fim de que haja garantias suficientes de execução de medidas técnicas e operacionais adequadas para a segurança e proteção dos direitos dos titulares dos dados.

Art. 11. Os dados pessoais serão excluídos quando se tornarem desnecessários às finalidades descritas nessa Política, exceto se houver obrigação legal de retenção e para resguardar direitos do PJMS, respeitados os requisitos de tratamento de dados previstos na legislação.

§ 1º O usuário e o colaborador são responsáveis pela veracidade e precisão das informações concedidas ou inseridas nos serviços prestados pelo PJMS, inclusive pela manutenção e atualização, quando forem de sua responsabilidade.

§ 2º A Assessoria de Gestão Documental e Memória é responsável pelo controle e arquivamento dos relatórios dos descartes de documentos e/ou processos judiciais, emitindo Edital de Eliminação conforme Portaria n.º 2177, de 28 de outubro de 2021.

§ 3º Os gestores de cada unidade administrativa são responsáveis pelo controle e arquivamento dos relatórios de descarte de informações de caráter administrativo, sendo encaminhadas para o Departamento de Gestão Documental para realizar o descarte.

Art. 12. No caso de incidente de segurança, o ETIR (Equipe de Tratamento e Resposta a Incidentes) do PJMS deverá reunir-se imediatamente para avaliar os danos ocorridos e definir os objetivos e prazos adequados e necessários à retomada da proteção dos dados, conforme Portaria n.º 2605, de 6 de março de 2023 – Política de Gerenciamento de Incidentes Cibernéticos.

Art. 13. Na execução desta Política, o PJMS adotará boas práticas de segurança da informação, mecanismos e controles adequados visando à proteção dos dados pessoais e da privacidade, na forma da lei.

Art. 14. Esta Portaria entra em vigor na data de sua publicação.

Campo Grande, 29 de julho de 2024.

Desembargador SÉRGIO FERNANDES MARTINS

Presidente