RESOLUÇÃO DO ÓRGÃO ESPECIAL Nº 40/2022

Local de Publicação Tipo de Matéria Número do ato Data do Ato Disponibilizada em Situação
TRIBUNAL DE JUSTIÇA RESOLUÇÃO ÓRGÃO ESPECIAL 40 15/12/2022 15/12/2022 VIGENTE
Ementa

Dispõe sobre a Política Geral de Privacidade e Proteção de Dados Pessoais (PGPPDP) do Poder Judiciário do Estado do Ceará.

RESOLUÇÃO DO ÓRGÃO ESPECIAL Nº 40/2022

Dispõe sobre a Política Geral de Privacidade e Proteção de Dados Pessoais (PGPPDP) do Poder Judiciário do Estado do Ceará.

O ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ (TJCE), no uso de suas competências legais e regimentais, por decisão unânime, em sessão realizada em 15 de dezembro de 2022,

CONSIDERANDO o disposto nos incisos X e XII do art. 5º da Constituição da República, que instituem o direito à privacidade, e no inciso LXXIX do mesmo artigo, que assegura o direito à proteção de dados pessoais, inclusive nos meios digitais, como direito fundamental;

CONSIDERANDO a Lei nº 13.709, de 14 de agosto 2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO a Lei nº 12.527, de 18 de novembro de 2011, denominada Lei de Acesso à Informação (LAI);

CONSIDERANDO a Lei nº 12.965, de 23 de abril de 2014, denominada Lei do Marco Civil da Internet;

CONSIDERANDO a Resolução nº 363 do Conselho Nacional de Justiça (CNJ), de 12 de janeiro de 2021, que estabeleceu medidas para o processo de adequação à LGPD;

CONSIDERANDO a Resolução nº 121 do CNJ, de 05 de outubro de 2010, que dispôs sobre a divulgação de dados processuais eletrônicos na rede mundial de computadores, expedição de certidões judiciais e dá outras providências;

CONSIDERANDO a Resolução nº 325 do CNJ, de 29 de junho de 2020, que estabeleceu a Estratégia Nacional do Poder Judiciário 2021-2026 e dá outras providências;

CONSIDERANDO a Resolução nº 370 do CNJ, de 28 de janeiro de 2021, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);

CONSIDERANDO a Resolução nº 396 do CNJ, de 7 de junho de 2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO o Provimento nº 134 do CNJ, de 24 de agosto de 2022, que estabeleceu medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à LGPD; e

CONSIDERANDO a Resolução do Órgão Especial nº 13, de 29 de abril de 2021, que instituiu a estrutura de governança da LGPD no âmbito do Poder Judiciário do Estado do Ceará;

RESOLVE:

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política Geral de Privacidade e Proteção de Dados Pessoais (PGPPDP), em meios físicos ou digitais, no âmbito do Poder Judiciário do Estado do Ceará (PJCE) como parte integrante de sua estrutura normativa, que seguirá os princípios, as diretrizes e os objetivos compatíveis com os requisitos previstos na Lei Geral de Proteção de Dados (LGPD), além de boas práticas e normas internacionalmente aceitas.
§ 1º A Política instituída nesta Resolução se aplica a qualquer operação de tratamento de dados pessoais realizada pelo PJCE, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.
§ 2º Os(as) magistrados(as), os(as) servidores(as), os(as) colaboradores(as) internos(as) e externos(as) e quaisquer outras pessoas que realizam tratamento de dados pessoais no PJCE devem executá-lo de acordo com as diretrizes, as normas pertinentes e os procedimentos previstos nesta Resolução.

Art. 2º Para os efeitos desta Resolução, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;
II – dado pessoal sensível: dado pessoal que permita identificar, direta ou indiretamente, um indivíduo em relação a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando esses dados estiverem vinculados a uma pessoa natural;
III – dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa;
IV – banco de dados: conjunto estruturado de dados pessoais estabelecido em meio físico ou eletrônico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador(a): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador(a): pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional do PJCE, que realiza o tratamento de dados pessoais em nome do(a) controlador(a), em todas as instâncias da instituição ou no âmbito de contratos ou instrumentos congêneres com ele firmados;
VIII – encarregado(a): pessoa indicada pelo(a) controlador(a) para atuar como canal de comunicação entre este(a), os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX – tratamento de dados pessoais: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;
X – agentes de tratamento: o(a) controlador(a) e o(a) operador(a);
XI – anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o(a) titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o País seja membro;
XVI – compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre órgãos públicos e privados;
XVII – relatório de impacto na proteção de dados pessoais: documentação do(a) controlador(a) com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e dos mecanismos de mitigação de risco; e
XVIII – Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais em todo o território nacional.

Art. 3º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade legítima, específica e explícita, que deverá ser informada ao(à) titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;
II – adequação do tratamento dos dados pessoais, compatível com as finalidades informadas ao(à) titular;
III – necessidade do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos em relação à finalidade do tratamento dos dados para a qual foram coletados;
IV – garantia, ao(à) titular, de livre acesso, de forma gratuita e facilitada, ao tratamento de seus dados pessoais;
V – garantia, ao(à) titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – garantia, ao(à) titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os(as) respectivos(as) agentes de tratamento;
VII – utilização de medidas técnicas e administrativas de segurança e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – proibição do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; e
IX – responsabilização e prestação de contas dos(as) agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.

Art. 4º O objetivo geral da PGPPDP é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus(suas) titulares, bem como o constante aperfeiçoamento dos(as) servidores(as), com capacitação, qualificação e implementação de soluções tecnológicas para aprimoramento da proteção de dados sensíveis de cidadãos(ãs), magistrados(as), servidores(as), terceirizados(as), credenciados(as) e prestadores(as) de serviços que envolvam
o PJCE.
§ 1º São objetivos específicos da PGPPDP:
I – assegurar níveis adequados de proteção aos dados pessoais tratados pelo PJCE;
II – orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;
III – garantir aos(às) titulares de dados pessoais os direitos fundamentais de liberdade, privacidade e proteção de dados pessoais, bem como o livre desenvolvimento da personalidade da pessoa natural;
IV – prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e
V – minimizar os riscos de violação de dados pessoais tratados pelo PJCE e qualquer impacto negativo que resulte dessa violação.
§ 2º A responsabilidade do PJCE pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e segurança.

CAPÍTULO II
DOS DIREITOS DO(DA) TITULAR

Art. 5º São direitos do(a) titular de dados pessoais tratados pelo PJCE:
I – confirmar a existência de tratamento;
II – acessar os dados;
III – corrigir dados incompletos, inexatos ou desatualizados;
IV – solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;
V – requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;
VI – garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses previstas no art. 21 desta Resolução;
VII – receber informação sobre o compartilhamento de seus dados pessoais, nos termos do art 7º, § 5º, combinado com o art. 18, caput e inciso VII, ambos da LGPD;
VIII – receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;
IX – revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;
X – opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;
XI – solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com o PJCE; e

XII – solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
§ 1º O(a) titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos nesta Resolução a qualquer tempo, de forma facilitada e gratuita, em solicitação expressa e específica, por meio do formulário eletrônico disponível na página da LGPD do portal do Tribunal de Justiça do Estado do Ceará (TJCE) na internet ou outras ferramentas a serem definidas pelo CGPD, juntamente com a Presidência do Tribunal.
§ 2º O PJCE adotará medidas técnicas e administrativas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

CAPÍTULO III
DOS(AS) AGENTES E DAS RESPONSABILIDADES

Seção I
Do(a) Controlador(a)

Art. 6º O Tribunal de Justiça do Estado do Ceará é o controlador de dados pessoais do PJCE e tem as seguintes obrigações, além de outras previstas na Lei:
I – manter registro das operações de tratamento de dados pessoais;
II – adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse;
III – elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados;
IV – fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para as decisões tomadas com base em tratamento automatizado de dados pessoais, nos termos da Lei; e
VII – orientar os(as) operadores(as) quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD.

Seção II
Do(a) Operador(a)

Art. 7º São operadores(as), para os fins desta Política, as pessoas naturais ou jurídicas, de direito público ou privado, que realizarem operações de tratamento de dados pessoais em nome do(a) controlador(a).

Art. 8º Os(As) operadores(as) são responsáveis por tratar os dados pessoais de acordo com as instruções estabelecidas pelo(a) controlador(a), além das seguintes atribuições:
I – manter o devido registro das ações realizadas para o tratamento desses dados;
II – proteger a privacidade dos dados pessoais desde seu ingresso na instituição;
III – descrever os tipos de dados coletados;
IV – utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V – capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade; e
VI – dar ciência ao(à) controlador(a) em caso de contrato com suboperador(a).

Art. 9º Os(as) fornecedores(as) de produtos ou serviços que vierem a tratar os dados pessoais a eles(as) confiados pelo PJCE se enquadram no conceito de operador(a) e estarão sujeitos a esta Política e ao cumprimento dos deveres legais e contratuais respectivos, entre os quais estão incluídos, em rol exemplificativo, os seguintes:
I – assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pelo PJCE;
II – apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação e os instrumentos contratuais e de compromissos;
III – manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV – seguir fielmente as diretrizes e as instruções transmitidas pelo PJCE;
V – facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade respectiva e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao PJCE, mediante solicitação;
VI – permitir a realização de auditorias, incluindo inspeções do PJCE ou de auditor(a) independente por aquele autorizado, e disponibilizar todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas;
VII – auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo PJCE de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros(as) legítimos(as) interessados(as);
VIII – comunicar formalmente e de imediato ao PJCE a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX – descartar de forma irrecuperável, ou devolver para o PJCE, todos os dados pessoais e as cópias existentes após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Art. 10. O PJCE poderá, a qualquer tempo e desde que não seja objeto de sigilo ou proteção legal, requisitar informações acerca do tratamento dos dados pessoais confiados a fornecedores(as) de produtos ou serviços.

Seção III
Da Estrutura de Governança da LGPD

Art. 11. A estrutura de governança responsável por assegurar o fiel cumprimento da LGPD, no âmbito do PJCE, instituída por meio da Resolução do Órgão Especial nº 13, de 29 de abril de 2021, é integrada pelos seguintes elementos funcionais:
I – Comitê Gestor de Proteção de Dados Pessoais (CGPD);
II – encarregado(a) pelo Tratamento de Dados Pessoais; e
III – Grupo de Trabalho de suporte técnico-operacional ao CGPD e ao(à) encarregado(a).
§ 1º As composições do CGPD e do Grupo de Trabalho de suporte técnico-operacional, bem como as atribuições desses
respectivos colegiados e do(a) encarregado(a) pelo Tratamento de Dados Pessoais estão definidas na mencionada Resolução
do Órgão Especial nº 13/2021.
§ 2º No desempenho de suas atribuições institucionais, o CGPD deverá observar as diretrizes desta PGPPDP e da Política
de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará, bem como atuar de forma coordenada com
o Comitê de Governança de Segurança da Informação e de Crises Cibernéticas (CGSICC), a Comissão de Informática e a
Comissão Permanente de Avaliação de Documentos (CPAD).
§ 3º Os(as) integrantes da estrutura de governança da LGPD serão designados(as) por meio de ato da Presidência do TJCE.

Art. 12. Os(As) magistrados(as), os(as) servidores(as) e os(as) demais colaboradores(as) vinculados(as) ao PJCE são responsáveis por:
I – cumprir integralmente os termos desta Resolução e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis; e
II – comunicar ao(à) encarregado(a) qualquer evento que viole esta Resolução ou coloque em risco os dados pessoais tratados pelo PJCE.
Parágrafo único. O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, nos termos desta Resolução e da legislação, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.

CAPÍTULO IV
DO TRATAMENTO DE DADOS PESSOAIS

Art. 13. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:
I – mediante o consentimento do(a) titular;
II – para o cumprimento de obrigação legal ou regulatória;
III – para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;
IV – para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;
V – para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o(a) titular;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII – para a proteção da vida ou da segurança física do(a) titular ou de terceiro(a);
VIII – para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário, para atender a legítimo interesse do(a) controlador(a) ou de terceiro(a); e
X – para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima, por meio de formulário ou outro tipo de ferramenta, devendo ser adotada solução tecnológica para a gestão do consentimento, a qual deve oferecer, no mínimo, as funcionalidades de registro, busca e exclusão do consentimento, considerando que este poderá ser revogado a qualquer momento pelo(a) titular.
§ 2º O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo(a) titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do(a) titular.
§ 3º O legítimo interesse para o tratamento de dados pessoais, previsto no inciso IX deste artigo, deve se fundamentar em finalidades legítimas, observadas situações concretas, a exemplo das seguintes:
I – apoio e promoção de atividades do(a) controlador(a), limitando-se, de todo modo, dados pessoais estritamente necessários para a finalidade pretendida e desde que o(a) controlador(a) adote as medidas para garantir a transparência do tratamento baseado em seu legítimo interesse; e
II – proteção, em relação ao(à) titular, do exercício regular de seus direitos ou prestação de serviços que o(a) beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD, de demais normas da espécie e de compromissos internacionais que o Brasil venha a assumir.
§ 4º Quando provocado(a) pela ANPD, o(a) controlador(a) apresentará relatório de impacto à proteção de dados pessoais quanto ao tratamento baseado em seu interesse legítimo, observados os segredos comercial e industrial.
§ 5º O(A) controlador(a) e o(a) operador(a) devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art. 14. O tratamento de dados pessoais pela administração deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais.
Parágrafo único. Nas hipóteses em que, no exercício de suas competências, a administração realizar o tratamento de dados pessoais, deverá fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Art. 15. O tratamento de dados sensíveis será realizado com o consentimento do(a) titular ou de seu(sua) responsável legal, de forma específica e destinado a finalidades específicas.
§ 1º O consentimento de que trata o caput deste artigo será dispensado:
I – nas hipóteses previstas nos incisos II a VIII do art. 13 desta Resolução; e
II – nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, para prevenir a fraude e garantir a segurança dos dados pessoais do(a) titular, resguardados todos os direitos de privacidade e de proteção desses dados.
§ 2º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao(à) titular, ressalvado o disposto em legislação específica.
§ 3º Quando o tratamento de dados pessoais envolver os incisos II e III do art. 13 desta Resolução, deverá ser dada publicidade à dispensa de consentimento.

§ 4º É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores(as) com o objetivo de obter vantagem econômica, exceto se houver regulamentação por parte da ANPD ou nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, nos termos de legislação específica.
§ 5º Em atendimento a suas competências legais, o PJCE poderá, no estrito limite de suas atividades jurisdicionais, tratar dados pessoais com dispensa de obtenção de consentimento pelos(as) respectivos(as) titulares(as), e eventuais atividades que transcendam o escopo da função jurisdicional estarão sujeitas à obtenção de consentimento dos(as) interessados(as).

Art. 16. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta Resolução, salvo quando for revertido o processo de anonimização ao qual foram submetidos.
Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.

Art. 17. O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender a seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal, bem como ser específico quanto à finalidade do tratamento.
Parágrafo único. A informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos de tratamento dos dados pessoais de que trata o caput deste artigo deverá ser mantida pública.

Art. 18. A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade, na forma da lei e de acordo com as regras do regime de tramitação sob segredo de Justiça.

Art. 19. No cumprimento de suas competências legais, o PJCE poderá, no estrito limite de suas atividades jurisdicionais e na forma da lei, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares, observado o disposto no art. 17, caput, desta Resolução.

Art. 20. O tratamento de dados pessoais deverá ser finalizado quando:
I – for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;
II – o período de tratamento chegar ao fim;
III – houver pedido de revogação do consentimento feito pelo(a) titular, resguardado o interesse público; ou
IV – por determinação da ANPD, no caso de violação à LGPD.

Art. 21. Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:
I – cumprimento de obrigação legal ou regulatória;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro(a), desde que respeitados os requisitos legais de tratamento de dados pessoais; ou
IV – uso exclusivo pelo PJCE, vedado seu acesso por terceiro(a), e desde que anonimizados os dados.

Art. 22. O uso compartilhado de dados pelo PJCE deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.
Parágrafo único. Na prestação dos serviços de sua competência, o PJCE compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.

Art. 23. A transferência internacional de dados pelo PJCE será realizada observando-se a Política instituída nesta Resolução e os termos da legislação nos seguintes casos, em conjunto ou isoladamente:
I – transferência de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado;
II – comprovação de garantias de cumprimento dos princípios, dos direitos do(a) titular e do regime de proteção de dados pessoais, como cláusulas contratuais específicas, cláusulas padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;
III – cooperação jurídica internacional entre órgãos públicos de inteligência para fins de investigação;
IV – proteção da vida ou da incolumidade física do(a) titular ou de terceiro(a);
V – autorização pela ANPD;
VI – compromisso assumido em acordo de cooperação internacional;
VII – execução de política pública ou de atribuição legal do serviço público;
VIII – mediante consentimento específico e em destaque do(a) titular dos dados pessoais;
IX – cumprimento de obrigação legal ou regulatória;
X – execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o(a) titular; e
XI – exercício regular de direitos em processo judicial, administrativo ou arbitral.

Art. 24. São atividades que deverão ser realizadas no tratamento de dados pessoais:
I – garantir ao(à) titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;
II – assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta Resolução e com a legislação vigente;
III – comunicar de forma clara o tratamento de dados pessoais ao(à) titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;
IV – quando forem requisitadas, fornecer ao(à) titular explicações sobre o tratamento de seus dados pessoais;
V – limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo(a) titular ou da base legal específica para o tratamento sem o consentimento;
VI – reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança, observado o disposto no art. 21 desta Resolução;

VII – bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela legislação;
VIII – fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus(suas) titulares
IX – cientificar os(as) titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;
X – garantir aos(às) titulares o acesso e a revisão de seus dados pessoais por meio da técnica de autenticação de identidade, desde que não haja restrição legal ao acesso ou à revisão;
XI – assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros(as);
XII – gerenciar eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada;
XIII – adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados; e
XIV – assegurar que a elaboração e a publicação das decisões judiciais e administrativas do PJCE estejam em conformidade com a LGPD, no que se refere à minimização da utilização de dados pessoais.

CAPÍTULO V
DISPOSIÇÕES FINAIS

Art. 25. As normas complementares de proteção de dados pessoais deverão abranger regras de boas práticas e de governança que estabeleçam os procedimentos e as condições de organização e de funcionamento, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas e o gerenciamento de riscos.
Parágrafo único. A Política de Privacidade para Navegação no Portal do TJCE e a Política de Cookies, ambas disponibilizadas de forma ostensiva e acessível na página da LGPD do portal do TJCE na Internet, devem ser mantidas continuamente atualizadas de acordo com a Política Geral instituída por meio desta Resolução.

Art. 26. As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas na esfera interna do PJCE e em seu sítio eletrônico, visando a disseminar cultura protetiva, com conscientização e sensibilização de magistrados(as), servidores(as) e demais colaboradores(as).

Art. 27. As serventias extrajudiciais observarão as medidas estabelecidas por meio do Provimento nº 134 do Conselho Nacional de Justiça (CNJ), de 24 de agosto de 2022, e de eventuais atos normativos posteriores que venham a modificá-lo, para se adequarem à LGPD, sem prejuízo de observarem, no que couber, os termos desta Política instituída nesta Resolução.
Parágrafo único. A Corregedoria-Geral da Justiça fiscalizará a efetiva observância das normas previstas no Provimento nº 134/2022/CNJ e em eventuais atos normativos posteriores que venham a modificá-lo, bem como expedirá as normas complementares que se fizerem necessárias, nos termos dos arts. 58 e 59 do mencionado Provimento do CNJ.

Art. 28 As normas e os procedimentos de segurança da informação deverão ser ajustados para atender aos requisitos estabelecidos na Política instituída nesta Resolução e na legislação quanto às medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.

Art. 29. As diretrizes estabelecidas nesta Resolução não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.

Art. 30. Esta Resolução será atualizada periodicamente, quando necessário, ouvido o CGPD.

Art. 31. Esta Resolução entra em vigor no prazo de 30 (trinta) dias, a partir da data de sua publicação.

REGISTRE-SE, PUBLIQUE-SE E CUMPRA-SE.

ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, em Fortaleza, aos 15 de dezembro de 2022.
Desa. Maria Nailde Pinheiro Nogueira – Presidente
Des. Fernando Luiz Ximenes Rocha
Des. Antônio Abelardo Benevides Moraes
Des. Emanuel Leite Albuquerque
Des. Paulo Francisco Banhos Ponte
Des. Durval Aires Filho
Des. Francisco Darival Beserra Primo
Des. Francisco Bezerra Cavalcante
Des. Inácio de Alencar Cortez Neto
Des. Teodoro Silva Santos – Convocado
Des. Paulo Airton Albuquerque Filho
Desa. Maria Edna Martins
Desa. Tereze Neumann Duarte Chaves
Des. Francisco Carneiro Lima
Des. Francisco Mauro Ferreira Liberato
Des. Francisco Luciano Lima Rodrigues
Des. José Ricardo Vidal Patrocínio

Texto Original

Dispõe sobre a Política Geral de Privacidade e Proteção de Dados Pessoais (PGPPDP) do Poder Judiciário do Estado do Ceará.

O ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ (TJCE), no uso de suas competências legais e regimentais, por decisão unânime, em sessão realizada em 15 de dezembro de 2022,

CONSIDERANDO o disposto nos incisos X e XII do art. 5º da Constituição da República, que instituem o direito à privacidade, e no inciso LXXIX do mesmo artigo, que assegura o direito à proteção de dados pessoais, inclusive nos meios digitais, como direito fundamental;

CONSIDERANDO a Lei nº 13.709, de 14 de agosto 2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO a Lei nº 12.527, de 18 de novembro de 2011, denominada Lei de Acesso à Informação (LAI);

CONSIDERANDO a Lei nº 12.965, de 23 de abril de 2014, denominada Lei do Marco Civil da Internet;

CONSIDERANDO a Resolução nº 363 do Conselho Nacional de Justiça (CNJ), de 12 de janeiro de 2021, que estabeleceu medidas para o processo de adequação à LGPD;

CONSIDERANDO a Resolução nº 121 do CNJ, de 05 de outubro de 2010, que dispôs sobre a divulgação de dados processuais eletrônicos na rede mundial de computadores, expedição de certidões judiciais e dá outras providências;

CONSIDERANDO a Resolução nº 325 do CNJ, de 29 de junho de 2020, que estabeleceu a Estratégia Nacional do Poder Judiciário 2021-2026 e dá outras providências;

CONSIDERANDO a Resolução nº 370 do CNJ, de 28 de janeiro de 2021, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);

CONSIDERANDO a Resolução nº 396 do CNJ, de 7 de junho de 2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO o Provimento nº 134 do CNJ, de 24 de agosto de 2022, que estabeleceu medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à LGPD; e

CONSIDERANDO a Resolução do Órgão Especial nº 13, de 29 de abril de 2021, que instituiu a estrutura de governança da LGPD no âmbito do Poder Judiciário do Estado do Ceará;

RESOLVE:

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política Geral de Privacidade e Proteção de Dados Pessoais (PGPPDP), em meios físicos ou digitais, no âmbito do Poder Judiciário do Estado do Ceará (PJCE) como parte integrante de sua estrutura normativa, que seguirá os princípios, as diretrizes e os objetivos compatíveis com os requisitos previstos na Lei Geral de Proteção de Dados (LGPD), além de boas práticas e normas internacionalmente aceitas.
§ 1º A Política instituída nesta Resolução se aplica a qualquer operação de tratamento de dados pessoais realizada pelo PJCE, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.
§ 2º Os(as) magistrados(as), os(as) servidores(as), os(as) colaboradores(as) internos(as) e externos(as) e quaisquer outras pessoas que realizam tratamento de dados pessoais no PJCE devem executá-lo de acordo com as diretrizes, as normas pertinentes e os procedimentos previstos nesta Resolução.

Art. 2º Para os efeitos desta Resolução, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;
II - dado pessoal sensível: dado pessoal que permita identificar, direta ou indiretamente, um indivíduo em relação a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando esses dados estiverem vinculados a uma pessoa natural;
III - dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa;
IV - banco de dados: conjunto estruturado de dados pessoais estabelecido em meio físico ou eletrônico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador(a): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador(a): pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional do PJCE, que realiza o tratamento de dados pessoais em nome do(a) controlador(a), em todas as instâncias da instituição ou no âmbito de contratos ou instrumentos congêneres com ele firmados;
VIII - encarregado(a): pessoa indicada pelo(a) controlador(a) para atuar como canal de comunicação entre este(a), os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - tratamento de dados pessoais: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;
X - agentes de tratamento: o(a) controlador(a) e o(a) operador(a);
XI - anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o(a) titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o País seja membro;
XVI - compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre órgãos públicos e privados;
XVII - relatório de impacto na proteção de dados pessoais: documentação do(a) controlador(a) com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e dos mecanismos de mitigação de risco; e
XVIII - Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais em todo o território nacional.

Art. 3º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade legítima, específica e explícita, que deverá ser informada ao(à) titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;
II - adequação do tratamento dos dados pessoais, compatível com as finalidades informadas ao(à) titular;
III - necessidade do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos em relação à finalidade do tratamento dos dados para a qual foram coletados;
IV - garantia, ao(à) titular, de livre acesso, de forma gratuita e facilitada, ao tratamento de seus dados pessoais;
V - garantia, ao(à) titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - garantia, ao(à) titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os(as) respectivos(as) agentes de tratamento;
VII - utilização de medidas técnicas e administrativas de segurança e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - proibição do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; e
IX - responsabilização e prestação de contas dos(as) agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.

Art. 4º O objetivo geral da PGPPDP é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus(suas) titulares, bem como o constante aperfeiçoamento dos(as) servidores(as), com capacitação, qualificação e implementação de soluções tecnológicas para aprimoramento da proteção de dados sensíveis de cidadãos(ãs), magistrados(as), servidores(as), terceirizados(as), credenciados(as) e prestadores(as) de serviços que envolvam
o PJCE.
§ 1º São objetivos específicos da PGPPDP:
I - assegurar níveis adequados de proteção aos dados pessoais tratados pelo PJCE;
II - orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;
III - garantir aos(às) titulares de dados pessoais os direitos fundamentais de liberdade, privacidade e proteção de dados pessoais, bem como o livre desenvolvimento da personalidade da pessoa natural;
IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e
V - minimizar os riscos de violação de dados pessoais tratados pelo PJCE e qualquer impacto negativo que resulte dessa violação.
§ 2º A responsabilidade do PJCE pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e segurança.

CAPÍTULO II
DOS DIREITOS DO(DA) TITULAR

Art. 5º São direitos do(a) titular de dados pessoais tratados pelo PJCE:
I - confirmar a existência de tratamento;
II - acessar os dados;
III - corrigir dados incompletos, inexatos ou desatualizados;
IV - solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;
V - requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;
VI - garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses previstas no art. 21 desta Resolução;
VII - receber informação sobre o compartilhamento de seus dados pessoais, nos termos do art 7º, § 5º, combinado com o art. 18, caput e inciso VII, ambos da LGPD;
VIII - receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;
IX - revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;
X - opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;
XI - solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com o PJCE; e

XII - solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
§ 1º O(a) titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos nesta Resolução a qualquer tempo, de forma facilitada e gratuita, em solicitação expressa e específica, por meio do formulário eletrônico disponível na página da LGPD do portal do Tribunal de Justiça do Estado do Ceará (TJCE) na internet ou outras ferramentas a serem definidas pelo CGPD, juntamente com a Presidência do Tribunal.
§ 2º O PJCE adotará medidas técnicas e administrativas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

CAPÍTULO III
DOS(AS) AGENTES E DAS RESPONSABILIDADES

Seção I
Do(a) Controlador(a)

Art. 6º O Tribunal de Justiça do Estado do Ceará é o controlador de dados pessoais do PJCE e tem as seguintes obrigações, além de outras previstas na Lei:
I - manter registro das operações de tratamento de dados pessoais;
II - adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse;
III - elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados;
IV - fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para as decisões tomadas com base em tratamento automatizado de dados pessoais, nos termos da Lei; e
VII - orientar os(as) operadores(as) quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD.

Seção II
Do(a) Operador(a)

Art. 7º São operadores(as), para os fins desta Política, as pessoas naturais ou jurídicas, de direito público ou privado, que realizarem operações de tratamento de dados pessoais em nome do(a) controlador(a).

Art. 8º Os(As) operadores(as) são responsáveis por tratar os dados pessoais de acordo com as instruções estabelecidas pelo(a) controlador(a), além das seguintes atribuições:
I - manter o devido registro das ações realizadas para o tratamento desses dados;
II - proteger a privacidade dos dados pessoais desde seu ingresso na instituição;
III - descrever os tipos de dados coletados;
IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade; e
VI - dar ciência ao(à) controlador(a) em caso de contrato com suboperador(a).

Art. 9º Os(as) fornecedores(as) de produtos ou serviços que vierem a tratar os dados pessoais a eles(as) confiados pelo PJCE se enquadram no conceito de operador(a) e estarão sujeitos a esta Política e ao cumprimento dos deveres legais e contratuais respectivos, entre os quais estão incluídos, em rol exemplificativo, os seguintes:
I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pelo PJCE;
II - apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação e os instrumentos contratuais e de compromissos;
III - manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV - seguir fielmente as diretrizes e as instruções transmitidas pelo PJCE;
V - facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade respectiva e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao PJCE, mediante solicitação;
VI - permitir a realização de auditorias, incluindo inspeções do PJCE ou de auditor(a) independente por aquele autorizado, e disponibilizar todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas;
VII - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo PJCE de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros(as) legítimos(as) interessados(as);
VIII - comunicar formalmente e de imediato ao PJCE a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;
IX - descartar de forma irrecuperável, ou devolver para o PJCE, todos os dados pessoais e as cópias existentes após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Art. 10. O PJCE poderá, a qualquer tempo e desde que não seja objeto de sigilo ou proteção legal, requisitar informações acerca do tratamento dos dados pessoais confiados a fornecedores(as) de produtos ou serviços.

Seção III
Da Estrutura de Governança da LGPD

Art. 11. A estrutura de governança responsável por assegurar o fiel cumprimento da LGPD, no âmbito do PJCE, instituída por meio da Resolução do Órgão Especial nº 13, de 29 de abril de 2021, é integrada pelos seguintes elementos funcionais:
I - Comitê Gestor de Proteção de Dados Pessoais (CGPD);
II - encarregado(a) pelo Tratamento de Dados Pessoais; e
III - Grupo de Trabalho de suporte técnico-operacional ao CGPD e ao(à) encarregado(a).
§ 1º As composições do CGPD e do Grupo de Trabalho de suporte técnico-operacional, bem como as atribuições desses
respectivos colegiados e do(a) encarregado(a) pelo Tratamento de Dados Pessoais estão definidas na mencionada Resolução
do Órgão Especial nº 13/2021.
§ 2º No desempenho de suas atribuições institucionais, o CGPD deverá observar as diretrizes desta PGPPDP e da Política
de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará, bem como atuar de forma coordenada com
o Comitê de Governança de Segurança da Informação e de Crises Cibernéticas (CGSICC), a Comissão de Informática e a
Comissão Permanente de Avaliação de Documentos (CPAD).
§ 3º Os(as) integrantes da estrutura de governança da LGPD serão designados(as) por meio de ato da Presidência do TJCE.

Art. 12. Os(As) magistrados(as), os(as) servidores(as) e os(as) demais colaboradores(as) vinculados(as) ao PJCE são responsáveis por:
I - cumprir integralmente os termos desta Resolução e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis; e
II - comunicar ao(à) encarregado(a) qualquer evento que viole esta Resolução ou coloque em risco os dados pessoais tratados pelo PJCE.
Parágrafo único. O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, nos termos desta Resolução e da legislação, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.

CAPÍTULO IV
DO TRATAMENTO DE DADOS PESSOAIS

Art. 13. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:
I - mediante o consentimento do(a) titular;
II - para o cumprimento de obrigação legal ou regulatória;
III - para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;
IV - para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;
V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o(a) titular;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da segurança física do(a) titular ou de terceiro(a);
VIII - para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário, para atender a legítimo interesse do(a) controlador(a) ou de terceiro(a); e
X - para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima, por meio de formulário ou outro tipo de ferramenta, devendo ser adotada solução tecnológica para a gestão do consentimento, a qual deve oferecer, no mínimo, as funcionalidades de registro, busca e exclusão do consentimento, considerando que este poderá ser revogado a qualquer momento pelo(a) titular.
§ 2º O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo(a) titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do(a) titular.
§ 3º O legítimo interesse para o tratamento de dados pessoais, previsto no inciso IX deste artigo, deve se fundamentar em finalidades legítimas, observadas situações concretas, a exemplo das seguintes:
I - apoio e promoção de atividades do(a) controlador(a), limitando-se, de todo modo, dados pessoais estritamente necessários para a finalidade pretendida e desde que o(a) controlador(a) adote as medidas para garantir a transparência do tratamento baseado em seu legítimo interesse; e
II - proteção, em relação ao(à) titular, do exercício regular de seus direitos ou prestação de serviços que o(a) beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD, de demais normas da espécie e de compromissos internacionais que o Brasil venha a assumir.
§ 4º Quando provocado(a) pela ANPD, o(a) controlador(a) apresentará relatório de impacto à proteção de dados pessoais quanto ao tratamento baseado em seu interesse legítimo, observados os segredos comercial e industrial.
§ 5º O(A) controlador(a) e o(a) operador(a) devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art. 14. O tratamento de dados pessoais pela administração deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais.
Parágrafo único. Nas hipóteses em que, no exercício de suas competências, a administração realizar o tratamento de dados pessoais, deverá fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Art. 15. O tratamento de dados sensíveis será realizado com o consentimento do(a) titular ou de seu(sua) responsável legal, de forma específica e destinado a finalidades específicas.
§ 1º O consentimento de que trata o caput deste artigo será dispensado:
I - nas hipóteses previstas nos incisos II a VIII do art. 13 desta Resolução; e
II - nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, para prevenir a fraude e garantir a segurança dos dados pessoais do(a) titular, resguardados todos os direitos de privacidade e de proteção desses dados.
§ 2º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao(à) titular, ressalvado o disposto em legislação específica.
§ 3º Quando o tratamento de dados pessoais envolver os incisos II e III do art. 13 desta Resolução, deverá ser dada publicidade à dispensa de consentimento.

§ 4º É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores(as) com o objetivo de obter vantagem econômica, exceto se houver regulamentação por parte da ANPD ou nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, nos termos de legislação específica.
§ 5º Em atendimento a suas competências legais, o PJCE poderá, no estrito limite de suas atividades jurisdicionais, tratar dados pessoais com dispensa de obtenção de consentimento pelos(as) respectivos(as) titulares(as), e eventuais atividades que transcendam o escopo da função jurisdicional estarão sujeitas à obtenção de consentimento dos(as) interessados(as).

Art. 16. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta Resolução, salvo quando for revertido o processo de anonimização ao qual foram submetidos.
Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.

Art. 17. O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender a seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal, bem como ser específico quanto à finalidade do tratamento.
Parágrafo único. A informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos de tratamento dos dados pessoais de que trata o caput deste artigo deverá ser mantida pública.

Art. 18. A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade, na forma da lei e de acordo com as regras do regime de tramitação sob segredo de Justiça.

Art. 19. No cumprimento de suas competências legais, o PJCE poderá, no estrito limite de suas atividades jurisdicionais e na forma da lei, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares, observado o disposto no art. 17, caput, desta Resolução.

Art. 20. O tratamento de dados pessoais deverá ser finalizado quando:
I - for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;
II - o período de tratamento chegar ao fim;
III - houver pedido de revogação do consentimento feito pelo(a) titular, resguardado o interesse público; ou
IV - por determinação da ANPD, no caso de violação à LGPD.

Art. 21. Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:
I - cumprimento de obrigação legal ou regulatória;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro(a), desde que respeitados os requisitos legais de tratamento de dados pessoais; ou
IV - uso exclusivo pelo PJCE, vedado seu acesso por terceiro(a), e desde que anonimizados os dados.

Art. 22. O uso compartilhado de dados pelo PJCE deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.
Parágrafo único. Na prestação dos serviços de sua competência, o PJCE compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.

Art. 23. A transferência internacional de dados pelo PJCE será realizada observando-se a Política instituída nesta Resolução e os termos da legislação nos seguintes casos, em conjunto ou isoladamente:
I - transferência de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado;
II - comprovação de garantias de cumprimento dos princípios, dos direitos do(a) titular e do regime de proteção de dados pessoais, como cláusulas contratuais específicas, cláusulas padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;
III - cooperação jurídica internacional entre órgãos públicos de inteligência para fins de investigação;
IV - proteção da vida ou da incolumidade física do(a) titular ou de terceiro(a);
V - autorização pela ANPD;
VI - compromisso assumido em acordo de cooperação internacional;
VII - execução de política pública ou de atribuição legal do serviço público;
VIII - mediante consentimento específico e em destaque do(a) titular dos dados pessoais;
IX - cumprimento de obrigação legal ou regulatória;
X - execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o(a) titular; e
XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.

Art. 24. São atividades que deverão ser realizadas no tratamento de dados pessoais:
I - garantir ao(à) titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;
II - assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta Resolução e com a legislação vigente;
III - comunicar de forma clara o tratamento de dados pessoais ao(à) titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;
IV - quando forem requisitadas, fornecer ao(à) titular explicações sobre o tratamento de seus dados pessoais;
V - limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo(a) titular ou da base legal específica para o tratamento sem o consentimento;
VI - reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança, observado o disposto no art. 21 desta Resolução;

VII - bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela legislação;
VIII - fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus(suas) titulares
IX - cientificar os(as) titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;
X - garantir aos(às) titulares o acesso e a revisão de seus dados pessoais por meio da técnica de autenticação de identidade, desde que não haja restrição legal ao acesso ou à revisão;
XI - assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros(as);
XII - gerenciar eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada;
XIII - adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados; e
XIV - assegurar que a elaboração e a publicação das decisões judiciais e administrativas do PJCE estejam em conformidade com a LGPD, no que se refere à minimização da utilização de dados pessoais.

CAPÍTULO V
DISPOSIÇÕES FINAIS

Art. 25. As normas complementares de proteção de dados pessoais deverão abranger regras de boas práticas e de governança que estabeleçam os procedimentos e as condições de organização e de funcionamento, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas e o gerenciamento de riscos.
Parágrafo único. A Política de Privacidade para Navegação no Portal do TJCE e a Política de Cookies, ambas disponibilizadas de forma ostensiva e acessível na página da LGPD do portal do TJCE na Internet, devem ser mantidas continuamente atualizadas de acordo com a Política Geral instituída por meio desta Resolução.

Art. 26. As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas na esfera interna do PJCE e em seu sítio eletrônico, visando a disseminar cultura protetiva, com conscientização e sensibilização de magistrados(as), servidores(as) e demais colaboradores(as).

Art. 27. As serventias extrajudiciais observarão as medidas estabelecidas por meio do Provimento nº 134 do Conselho Nacional de Justiça (CNJ), de 24 de agosto de 2022, e de eventuais atos normativos posteriores que venham a modificá-lo, para se adequarem à LGPD, sem prejuízo de observarem, no que couber, os termos desta Política instituída nesta Resolução.
Parágrafo único. A Corregedoria-Geral da Justiça fiscalizará a efetiva observância das normas previstas no Provimento nº 134/2022/CNJ e em eventuais atos normativos posteriores que venham a modificá-lo, bem como expedirá as normas complementares que se fizerem necessárias, nos termos dos arts. 58 e 59 do mencionado Provimento do CNJ.

Art. 28 As normas e os procedimentos de segurança da informação deverão ser ajustados para atender aos requisitos estabelecidos na Política instituída nesta Resolução e na legislação quanto às medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.

Art. 29. As diretrizes estabelecidas nesta Resolução não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.

Art. 30. Esta Resolução será atualizada periodicamente, quando necessário, ouvido o CGPD.

Art. 31. Esta Resolução entra em vigor no prazo de 30 (trinta) dias, a partir da data de sua publicação.

REGISTRE-SE, PUBLIQUE-SE E CUMPRA-SE.

ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, em Fortaleza, aos 15 de dezembro de 2022.
Desa. Maria Nailde Pinheiro Nogueira – Presidente
Des. Fernando Luiz Ximenes Rocha
Des. Antônio Abelardo Benevides Moraes
Des. Emanuel Leite Albuquerque
Des. Paulo Francisco Banhos Ponte
Des. Durval Aires Filho
Des. Francisco Darival Beserra Primo
Des. Francisco Bezerra Cavalcante
Des. Inácio de Alencar Cortez Neto
Des. Teodoro Silva Santos – Convocado
Des. Paulo Airton Albuquerque Filho
Desa. Maria Edna Martins
Desa. Tereze Neumann Duarte Chaves
Des. Francisco Carneiro Lima
Des. Francisco Mauro Ferreira Liberato
Des. Francisco Luciano Lima Rodrigues
Des. José Ricardo Vidal Patrocínio