Norma considera diretrizes da Lei Geral de Proteção de Dados, Lei de Acesso à Informação, legislação do Conselho Nacional de Justiça e orientação da Associação Brasileira de Normas Técnicas. Confira na íntegra:
PORTARIA N.º 2.920, DE 29 DE JULHO DE 2024
Estabelece norma complementar à Política de Segurança da Informação, que trata da classificação da informação e proteção de dados no âmbito do Tribunal de Justiça do Estado de Mato Grosso do Sul – TJMS.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DE MATO GROSSO DO SUL, no uso de suas atribuições legais,
CONSIDERANDO a necessidade de estabelecer diretrizes para o tratamento de dados, em conformidade com a Lei n.º 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD);
CONSIDERANDO os preceitos da Lei n.º 12.527/2011 – Lei de Acesso à Informação (LAI), que regula o acesso à informação, em especial o inciso III do art. 6º e o inciso IV do art. 32, da aludida norma;
CONSIDERANDO a Resolução CNJ n.º 215/2015, que dispõe, no âmbito do Poder Judiciário, sobre o acesso à informação e a aplicação da Lei n.º 12.527, de 18 de novembro de 2011;
CONSIDERANDO as orientações contidas na norma ABNT NBR ISO/IEC 27002:2013, no item 8.2, quanto ao processo de classificação da informação;
CONSIDERANDO que o PJMS produz e custodia informações no exercício de suas competências, e que eventual sigilo dessas informações deve ser resguardado;
RESOLVE:
Art. 1º Instituir a Política de Classificação da Informação e Proteção de Dados do Poder Judiciário de Mato Grosso do Sul (PJMS), que dispõe sobre as diretrizes seguidas no tratamento de dados.
Art. 2º O objetivo desta Política é regulamentar a aplicação dos preceitos da LGPD e os princípios para classificação, proteção dos dados pessoais e da privacidade dos colaboradores e usuários dos serviços prestados pelo PJMS.
Parágrafo único. A classificação da informação em atos processuais judiciais observará os critérios e os procedimentos de segurança estabelecidos nas normas processuais ou matérias específicas.
Art. 3º Estão sujeitos às diretrizes estabelecidas nesta Portaria os magistrados, servidores, efetivos e comissionados, estagiários, aprendizes, auxiliares administrativos, voluntários e terceirizados;
Art. 4º Para fins do disposto nesta Política, devem ser observadas as seguintes definições:
I – CLASSIFICAÇÃO DA INFORMAÇÃO: identificação do nível de acesso dos documentos e/ou processos;
II – COLABORADORES: magistrados, servidores, estagiários, aprendizes, auxiliares administrativos, terceirizados, fornecedores, voluntários e quaisquer outros decorrentes de contrato ou instrumentos congêneres firmados com o PJMS;
III – SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
IV – DADOS CADASTRAIS: informações que contemplam dados pessoais, funcionais e dados pessoais sensíveis;
V – DADOS PESSOAIS: informação relacionada à pessoa natural identificada ou identificável, na forma da legislação vigente;
VI – DADOS PESSOAIS SENSÍVEIS: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, estado civil, dado genético ou biométrico, quando vinculado a uma pessoa natural, na forma da legislação vigente;
VII – TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto do tratamento, na forma da legislação vigente;
VIII – FINALIDADE DE USO: tratamento dos dados para propósitos legítimos e compatíveis à execução dos serviços prestados pelo PJMS e às respectivas obrigações legais;
IX – TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
X – AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil;
XI – PRESTADORES DE SERVIÇOS: empresas e fornecedores contratados para suprir materiais e serviços ao PJMS;
XII – SITE INSTITUCIONAL: endereço na internet que se refere ao sítio eletrônico no qual o PJMS disponibiliza os serviços e conteúdo à população.
Art. 5º São agentes de tratamento de dados pessoais no âmbito do PJMS:
I – CONTROLADOR: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador é o próprio PJMS;
II – OPERADOR: o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. Os operadores são todos os colaboradores necessários para prestar serviços que envolvam tratamento de dados;
III – ENCARREGADO: também conhecido pela sigla DPO (Data Protection Officer), é a pessoa indicada pelo controlador para atuar como canal de comunicação entre ele, os titulares dos dados e a ANPD.
Art. 6º A classificação dos documentos e processos deve buscar ser compatível com o grau de segurança da informação, de acordo com sua confidencialidade, integridade e disponibilidade, visando a otimizar/agilizar o processo de tratamento e reduzir os custos com sua proteção.
§ 1º O gestor de cada unidade será responsável pela classificação, guarda e descarte dos documentos e/ou processos por eles elaborados e/ou recebidos.
§ 2º Os documentos e processos, quando de sua emissão e/ou recebimento, terão seus conteúdos visualizados de acordo com os níveis de acesso a eles atribuídos, conforme a seguinte classificação:
I – PÚBLICO: acesso integral por qualquer pessoa do PJMS e/ou público externo;
II – RESTRITO: acesso de forma restrita pelas unidades definidas no momento da classificação;
III – CONFIDENCIAL: acesso exclusivo pelas pessoas especificadas no momento da classificação.
Art. 7º O PJMS implementará medidas de segurança para proteger os dados pessoais daqueles que com ele se relacionam, procurando evitar acessos indevidos e o uso inadequado ou ilícito de tais informações.
§ 1º O PJMS deve buscar estimular nos seus magistrados, servidores, demais colaboradores e prestadores de serviços a promoção da cultura de proteção dos dados pessoais e deverá zelar pela confidencialidade e pelo adequado tratamento das informações e dos dados pessoais.
§ 2º Os dados coletados e armazenados pelo PJMS têm por objetivo o cumprimento jurisdicional e o fornecimento de serviços aos seus colaboradores e público geral, e deverão ser tratados conforme os princípios estabelecidos pela LGPD e nos termos desta Política.
§ 3º O usuário poderá ser demandado por meio dos canais de comunicação institucionais a fornecer dados adicionais, mediante consentimento prévio, a fim de que sejam aperfeiçoados os instrumentos de atendimento e de acesso aos serviços do PJMS.
§ 4º O site e os aplicativos institucionais disponibilizados pelo PJMS utilizarão cookies, que são pequenos arquivos baixados pelo navegador de internet e/ou sistema eletrônico e que permitem o desempenho de algumas funcionalidades em ambiente virtual, mediante informação e aceitação prévia do usuário.
§ 5º O Serviço de Informação ao Cidadão – e-SIC, é o canal de comunicação e denúncia de irregularidades estabelecido pelo PJMS. Este serviço, em consonância com o direito constitucional de acesso à informação, assegura a todo cidadão o direito de obter informações de interesse particular ou de interesse coletivo ou geral, bem como é o meio adequado para o recebimento de dúvidas e solicitações relativas ao tratamento dos dados pessoais.
§ 6º Toda informação recebida pelo e-SIC será classificada como RESTRITA, garantindo a devida proteção e sigilo das informações nele contidas, conforme estabelecido nesta política.
§ 7º Compete ao Presidente do Tribunal de Justiça a decisão a respeito do fornecimento de qualquer informação solicitada através do canal e-SIC, considerando os preceitos desta norma.
§ 8º Os processos judiciais que sejam publicados na Revista de Jurisprudência devem ser pseudoanonimizados, tendo seus nomes substituídos por siglas, de forma a preservar a identificação dos envolvidos e garantir a privacidade, conforme as diretrizes estabelecidas na Lei Geral de Proteção de Dados Pessoais (LGPD).
§ 9º A Secretaria de Tecnologia da Informação detém a primordial responsabilidade pela preservação, guarda e controle das bases de dados informatizadas, necessárias ao desempenho das funções institucionais, administrativas, jurisdicionais e demais atribuições inerentes ao exercício competente do Poder Judiciário do Mato Grosso do Sul.
§ 10. A Secretaria de Gestão de Pessoas é a unidade responsável pelo tratamento e disponibilização dos dados pessoais e funcionais dos servidores, estagiários, aprendizes, auxiliares administrativos e voluntários.
§ 11. A Secretaria da Magistratura é a unidade responsável pelo tratamento e disponibilização dos dados pessoais e funcionais dos magistrados, juízes leigos e conciliadores.
§ 12. A Secretaria de Bens, Serviços e Patrimônio é a unidade responsável pelo tratamento e disponibilização dos dados dos colaboradores terceirizados.
§ 13. A Secretaria de Bens, Serviços e Patrimônio, quando das contratações de terceiros que tenham ou possam ter acesso à base de dados dos colaboradores ou usuários da justiça, devem inserir nos referidos contratos regras específicas sobre o tratamento, o sigilo e a confidencialidade dos dados durante a sua vigência e o descarte das informações após o seu término.
Art. 8º Os dados pessoais serão coletados, tratados e armazenados conforme os seguintes parâmetros:
§ 1º DA COLETA: Os dados do usuário podem ser coletados e tratados para a prestação de serviços judiciais, conforme as informações concedidas pelo usuário. As informações e dados do usuário serão coletados, armazenados e protegidos de acordo com os critérios e padrões de proteção e confidencialidade de segurança autorizados ou na forma da legislação vigente.
§ 2º DO ACESSO: Os dados pessoais dos usuários da justiça e colaboradores podem ser acessados pelos servidores do PJMS que deles necessitem para a realização de suas atividades. Terceiros poderão ser contratados para a prestação de determinados serviços especializados, que eventualmente poderão implicar no acesso a dados pessoais de usuários e colaboradores. Nestes casos, o PJMS deve adotar todas as medidas contratuais e operacionais para que os fornecedores e parceiros recepcionem apenas os dados pessoais indispensáveis ao serviço ou atividade a ser realizada e que mantenham alto nível de governança e proteção de dados, além de sigilo e confidencialidade.
Art. 9º As informações coletadas serão mantidas em base de dados do PJMS enquanto houver relação com o usuário, podendo estender-se além do período, para o cumprimento de obrigações legais ou interesses legítimos, de acordo com a LGPD.
Art. 10. Poderá haver compartilhamento de dados pessoais com terceiros (fornecedores e órgãos conveniados), nos casos em que sejam necessárias ou adequadas à luz da legislação aplicável, para assegurar interesses dos usuários e colaboradores, inclusive no âmbito dos contratos firmados com o PJMS, cumprimento de obrigações legais ou ordens judiciais ou para atender solicitações e demandas de autoridades públicas. Parágrafo único. Havendo o compartilhamento de dados pessoais, deverão ser adotadas todas as medidas razoáveis para a sua proteção, observadas as instruções impostas contratualmente, os preceitos da LGPD e esta Política de Classificação e Proteção de Dados, a fim de que haja garantias suficientes de execução de medidas técnicas e operacionais adequadas para a segurança e proteção dos direitos dos titulares dos dados.
Art. 11. Os dados pessoais serão excluídos quando se tornarem desnecessários às finalidades descritas nessa Política, exceto se houver obrigação legal de retenção e para resguardar direitos do PJMS, respeitados os requisitos de tratamento de dados previstos na legislação.
§ 1º O usuário e o colaborador são responsáveis pela veracidade e precisão das informações concedidas ou inseridas nos serviços prestados pelo PJMS, inclusive pela manutenção e atualização, quando forem de sua responsabilidade.
§ 2º A Assessoria de Gestão Documental e Memória é responsável pelo controle e arquivamento dos relatórios dos descartes de documentos e/ou processos judiciais, emitindo Edital de Eliminação conforme Portaria n.º 2177, de 28 de outubro de 2021.
§ 3º Os gestores de cada unidade administrativa são responsáveis pelo controle e arquivamento dos relatórios de descarte de informações de caráter administrativo, sendo encaminhadas para o Departamento de Gestão Documental para realizar o descarte.
Art. 12. No caso de incidente de segurança, o ETIR (Equipe de Tratamento e Resposta a Incidentes) do PJMS deverá reunir-se imediatamente para avaliar os danos ocorridos e definir os objetivos e prazos adequados e necessários à retomada da proteção dos dados, conforme Portaria n.º 2605, de 6 de março de 2023 – Política de Gerenciamento de Incidentes Cibernéticos.
Art. 13. Na execução desta Política, o PJMS adotará boas práticas de segurança da informação, mecanismos e controles adequados visando à proteção dos dados pessoais e da privacidade, na forma da lei.
Art. 14. Esta Portaria entra em vigor na data de sua publicação.
Campo Grande, 29 de julho de 2024.
Desembargador SÉRGIO FERNANDES MARTINS
Presidente