Art. 6º Nas atividades de tratamento de dados pessoais, o PJRN deverá seguir os seguintes princípios:

I – boa-fé: é a convicção de agir com correção e em conformidade com o Direito;

II – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

III – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

IV – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades informadas ao titular, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

V – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma do tratamento, bem como sobre a integralidade de seus dados pessoais;

VI – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VII – transparência: garantia, aos titulares, de informações claras e precisas sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VIII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações ilícitas de destruição, perda, alteração, comunicação ou difusão;

IX – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

X – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos;

XI – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 7º Para conformar os processos e os procedimentos do PJRN à LGPD, deverão ser consideradas as seguintes diretrizes:

I – levantamento dos dados pessoais tratados na instituição;

II – mapeamento dos fluxos de dados pessoais na instituição;

III – verificação da conformidade do tratamento com o previsto na LGPD;

IV – definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no PJRN;

V – revisão e atualização da política e dos programas de segurança da informação;

VI – definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais durante seu ciclo de vida;

VII – definição do modo de prestar as informações sobre o tratamento de dados pessoais;

VIII – revisão e adequação à LGPD dos contratos firmados no âmbito do Tribunal;

IX – revisão e adequação à LGPD dos processos e procedimentos relacionados à área de saúde;

X – elaboração de Política de Tratamento de Dados Pessoais específica para dados relativos a crianças, jovens e idosos;

XI – elaboração do Relatório de Impacto de Proteção de Dados Pessoais (RIPD) quando se tratar de tratamento de dados pessoais sensíveis e que potencialmente possam causar danos e riscos ao titular de dados;

XII – definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na esfera administrativa do Tribunal.

Art. 8º O tratamento de dados pessoais pelo PJRN é realizado de acordo o expresso e inequívoco consentimento do usuário ou, ainda, nas seguintes hipóteses:

I – para o cumprimento de obrigação legal ou regulatória;

II – pela administração pública, para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;

III – para a realização de estudos por órgão de pesquisa, via anonimização dos dados pessoais, sempre que possível;

IV – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;

V – para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VI – para a proteção da vida ou da segurança física do titular ou de terceiro;

VII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

VIII – quando necessário para atender ao legítimo interesse do controlador ou de terceiro;

IX – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente; e

X – atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências ou cumprir as atribuições legais do serviço judicial. Parágrafo único. Entende-se o legítimo interesse do controlador como base legal para tratamento de dados pessoais em situações de apoio e promoção as suas atividades ou, ainda, a proteção do exercício regular de seus direitos ou da prestação de serviços que o beneficiem, respeitados os direitos e liberdades fundamentais do titular dos dados.

Art. 9º O tratamento dos dados pessoais deverá ser realizado durante todo o ciclo de vida destes na instituição que envolve as operações de acesso, coleta, avaliação, classificação, armazenamento, controle, extração, comunicação, distribuição, difusão, eliminação, modificação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização.

Art. 10. O PJRN realiza o tratamento de dados pessoais pelo tempo necessário para cumprir a finalidade para os quais foram coletados, de acordo com sua base legal. Quando do término do tratamento, os dados pessoais serão eliminados, sendo autorizada a conservação nas situações previstas na legislação vigente.

Art. 11. Os dados pessoais tratados pelo PJRN devem ser:

I – protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;

II – mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou em face de solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de prazos de retenção de dados;

III – compartilhados somente para o exercício das funções judiciárias ou para atendimento de políticas públicas aplicáveis; e

IV – revistos em periodicidade mínima anual, sendo imediatamente eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

Art. 12. O PJRN deverá disponibilizar as informações sobre a privacidade de dados pessoais, de forma clara, adequada e atualizada, em lugar de fácil acesso e visualização em seu portal na internet, devendo conter necessariamente:

I – as hipóteses que fundamentam a realização do tratamento de dados pessoais na instituição;

II – a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais;

III – a identificação e o contato do(a) controlador(a) e do(a) encarregado(a);

IV – o nome do encarregado e o contato deste;

V – as responsabilidades do(a) operador(a) envolvido(a) no tratamento.

Parágrafo único. As informações referentes ao tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes deverão estar disponíveis em linguagem clara e simples, concisa, transparente, inteligível e acessível, na forma da lei e de acordo com as regras do regime de tramitação, sob o segredo de Justiça.

Art. 13. A responsabilidade do PJRN pelo tratamento de dados pessoais estará circunscrita aos deveres decorrentes do exercício de suas atribuições legais e institucionais, e do emprego de boas práticas de transparência, governança e de segurança.

Art. 14. Nos contratos mantidos com terceiros, para o fornecimento de produtos ou a prestação de serviços necessários a suas operações, o PJRN poderá, conforme o caso, adotar disciplina própria de proteção de dados pessoais, a qual deverá estar disponível e ser consultada pelos interessados.

Art. 15. O PJRN deverá zelar para que o titular do dado pessoal possa usufruir dos direitos assegurados pela LGPD e pela legislação e regulamentação correlatas, informando adequadamente os procedimentos necessários a sua fruição nos respectivos sítios eletrônicos e materiais de divulgação específicos.

Art. 16. O PJRN está sujeito ao dever de expedir ou atender cartas rogatórias, colaborar para autorização de atividades de cooperação internacional em investigação e persecução oficiais, e observar outros deveres inerentes à atividade jurisdicional que implicam transferências internacionais de dados pessoais.

Parágrafo único. Excetuando-se as situações previstas no caput deste artigo, o PJRN não procederá a transferências internacionais de dados pessoais, inclusive para fins de convênios de cooperação administrativa com outros tribunais, exceto se prévia e formalmente autorizado mediante consentimento inequívoco pelo titular respectivo ou anonimização do dado pessoal para fins exclusivamente estatísticos.

Art. 17. Quando destinados à execução de políticas públicas e na prestação dos serviços de sua competência, o PJRN realizará o compartilhamento dos dados pessoais de acordo com a interoperabilidade dos seus sistemas e serviços de tecnologia da informação.

Art. 18. O PJRN somente poderá compartilhar dados pessoais no cumprimento de suas obrigações legais ou regulatórias, com os seguintes tipos de organizações públicas ou privadas:

I – Provedores de serviços: empresas contratadas para auxiliar diretamente ou indiretamente na manutenção dos serviços administrativos ou judiciais. Esses provedores de serviços e seus colaboradores selecionados, só estão autorizados a acessar dados pessoais para as tarefas específicas, que forem requisitadas a eles com base em instruções determinadas sobre a proteção de dados pessoais. Em caso de violação de dados pessoais, respondem solidariamente conforme a legislação vigente;

II – Serviços notariais e de registro: na realização das atividades delegadas pelo Poder Judiciário, se estiverem em conformidade com a LGPD;

III – Órgãos e entidades públicas: no exercício de suas atribuições legais e regulatórias ou relacionadas à finalidade pública, em atenção ao interesse público.

Parágrafo único. Os serviços extrajudiciais terão seus disciplinamentos próprios expedidos pela Corregedoria-Geral de Justiça.

Art. 19. O PJRN é o Controlador dos dados pessoais por ele tratados, nos termos das suas competências legal e institucional, sendo representado pelo seu Presidente.

Art. 20. Compete ao Controlador:

I – fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:

a) o modo como serão tratados os dados pessoais no PJRN, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia para o Programa de Privacidade e Proteção de Dados Pessoais;

c) a aplicação da metodologia de gestão de riscos no tratamento de dados;

d) a aplicação de metodologias de segurança da informação.

II – decidir as questões relativas ao tratamento de dados pessoais:

III – expedir normas administrativas e verificar a observância da matéria na instituição;

IV – incentivar a disseminação da cultura da privacidade de dados pessoais no âmbito do PJRN;

V – deliberar sobre recursos administrativos relativos à proteção de dados pessoais

VI – determinar a permanente atualização desta Política e o desenvolvimento dos respectivos instrumentos e programas.

Art. 21. A função de Encarregado pelo Tratamento de Dados Pessoais será exercida por Desembargador indicado pelo Presidente do TJRN.

Art. 22. Compete ao Encarregado pelo Tratamento de Dados Pessoais:

I – ser o canal de comunicação entre a instituição, o titular de dados pessoais, a ANPD e o CNJ;

II – prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;

III – executar as atribuições a si determinadas pelo Controlador;

IV - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios e as medidas cabíveis;

V – determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais no Tribunal, em conformidade com o previsto na LGPD;

VI – apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais; e

VII – manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;

VIII – deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoas e normas correlatas;

IX – apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais;

X – responder incidentes no tratamento de dados pessoais e comunicar à Autoridade Nacional e ao(à) titular dos dados, em prazo razoável, a ocorrência de incidentes de segurança e violação com os dados pessoais, que possam causar danos ou riscos relevantes à privacidade do indivíduo;

XI – executar as demais atribuições determinadas pelo Controlador, pela ANPD ou estabelecidas em normas complementares.

Art. 23. Todas as operações de tratamento de dados devem ser do conhecimento do Encarregado, para que este compreenda as necessidades, riscos e desafios existentes no âmbito do PJRN, no que tange à proteção de dados.

Art. 24. O Controlador e o Encarregado pelo Tratamento de Dados Pessoais serão assessorados pelo CGPDP para o adequado desempenho de suas funções.

Art. 25. A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, e o mesmo atenderá quaisquer contatos, nos termos da lei, no endereço eletrônico protecaodedados@tjrn.jus.br, o qual deverá estar informado no sítio eletrônico e em materiais de divulgação desta Política.

Art. 26. As solicitações dos titulares de dados pessoais e demais demandas relacionadas à LGPD deverão ser dirigidas à Ouvidoria, que as receberá e, indicando a pertinência temática à proteção de dados pessoais, as remeterá ao CGPDP, para análise e após juntada de parecer, encaminhará ao Encarregado.

§ 1º O Encarregado examinará o pedido e o parecer ofertado e, os encaminhará ao Desembargador Presidente, na condição de Controlador, com proposta fundamentada de solução. § 2º O Encarregado comunicará ao titular dos dados pessoais, por meio da Ouvidoria, a solução adotada pelo Controlador.

Art. 27. São Operadores no âmbito do PJRN as pessoas naturais ou jurídicas, de direito público ou privado, que realizarem operações de tratamento de dados pessoais em nome do Controlador.

Art. 28. Compete aos Operadores:

I – seguir as instruções do Controlador;

II – descrever os tipos de dados coletados e documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;

III – proteger a privacidade dos dados pessoais desde seu ingresso na instituição;

IV – firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador;

V – utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

VI – capacitar equipe para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade;

VII – dar ciência ao controlador em caso de contrato com suboperador.

Art. 29. Os fornecedores de produtos ou serviços que vierem a tratar os dados pessoais a eles confiados pelo PJRN se enquadram no conceito de operador, e estarão sujeitos a esta Política e ao cumprimento dos deveres legais e contratuais respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:

I – Assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pelo PJRN;

II – Apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação, os instrumentos contratuais e de compromissos;

III – Manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;

IV – Seguir fielmente as diretrizes e instruções transmitidas pelo PJRN;

V – Facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade respectiva e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso está disponível em caráter permanente para exibição ao PJRN, mediante solicitação;

VI – Permitir a realização de auditorias, incluindo inspeções do PJRN ou de auditor independente autorizado por ele autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

VII – Auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo PJRN de obrigações perante Titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;

VIII – Comunicar formalmente e de imediato ao PJRN a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a Titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;

IX – Descartar de forma irrecuperável, ou devolver para o PJRN, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Art. 30. O PJRN poderá, a qualquer tempo e desde que não seja objeto de sigilo ou proteção legal, requisitar informações acerca do tratamento dos dados pessoais confiados a fornecedores de produtos ou serviços,

Art. 31. O Controlador e os Operadores respondem solidariamente por todo tratamento inadequado dos dados pessoais dos quais resulte, dentre outros, prejuízo ao titular e comprometimento da confiabilidade da instituição.

Art. 32. O PJRN poderá padronizar fluxos e modelos de comunicação para utilização pelo Encarregado no atendimento de solicitações ou dúvidas de Titulares de dados pessoais, e demais procedimentos organizacionais, visando a assegurar a celeridade necessária para cumprimento de prazos legais de atendimentos.

Art. 33. O Encarregado pelo Tratamento de Dados Pessoais e o CGPDP deverão manter o Controlador informado de aspectos e fatos significativos e de interesse para conhecimento pelas instâncias respectivas.

Art. 34. O PJRN, em conformidade com os princípios da LGPD dispõe de Política de Segurança da Informação que especifica e determina a adoção de medida técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.

Art. 35. O PJRN adotará boas práticas e governança voltadas a orientar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais, tratando-os de forma íntegra e segura, de acordo com padrões de confidencialidade, integridade e disponibilidade pelo tempo que for necessário para realizar as finalidades específicas para as quais foram coletados ou para cumprir com requerimentos legais aplicáveis em conformidade com sua Política de Segurança da Informação:

Art. 36. Caberá ao Encarregado e ao CGPDP manterem a Administração do Tribunal informada a respeito de fatos significativos e de relevante interesse, no que diz respeito à proteção e ao tratamento de dados pessoais.

Art. 37. Em caso de incidente de segurança que envolva dados pessoais, a ocorrência será comunicada à Agência Nacional de Proteção de Dados e ao titular quando envolver risco ou dano relevante à sua privacidade.

Parágrafo único. A comunicação sobre a descrição da natureza, riscos, titulares envolvidos, medidas técnicas e de segurança utilizadas e medidas adotadas para o tratamento do incidente, será feita conforme o prazo definido pela ANPD.

Art. 38. O processo de análise para determinar a adequação, suficiência e eficácia dos documentos da PPPDP deve ser formalizado com o registro de diagnósticos e sugestões, assim como das respectivas aprovações.

Art. 39. O TJRN poderá, por meio dos seus sítios eletrônicos e sistemas informatizados disponibilizados na Internet ou em redes de comunicação internas, coletar os dados pessoais dos seus visitantes e usuários.

§ 1º A coleta de dados pessoais de que trata o caput se destina às atividades indispensáveis à prestação e à utilização dos serviços oferecidos pelo Tribunal pormeio dos seus sítios eletrônicos e sistemas informatizados, tais como:

I – estabelecimento e manutenção do fluxo de comunicação entre o dispositivo do visitante ou usuário e os equipamentos localizados nos centros computacionais do Tribunal;

II – autenticação do usuário nos sistemas disponibilizados pelo Tribunal;

III – manutenção do histórico de navegação e das preferências do visitante ou usuário;

IV – reconhecimento da assinatura digital do peticionante no processo eletrônico;

V – resposta às manifestações encaminhadas à Ouvidoria Regional;

VI – credenciamento do acesso a sistemas de informação e áreas restritas; e

VII – preservação da segurança dos ativos de informação e dos recursos de Tecnologia da Informação e Comunicação institucionais e de terceiros.

§ 2º Os dados pessoais coletados a partir dos sítios eletrônicos e sistemas informatizados incluem:

I – data e hora dos acessos;

II – endereço de Protocolo de Internet (conhecido como endereço IP) utilizado pelo dispositivo do visitante ou usuário no momento do acesso;

III – registros dos acessos feitos a páginas eletrônicas, arquivos e aplicações disponibilizadas;

IV – dados cadastrais daqueles que optarem por utilizar os sistemas judiciais e administrativos (Processo Judicial Eletrônico – PJe, Processo Administrativo Eletrônico – SIGAJUS), formulário para manifestação junto à Ouvidoria e demais sistemas informatizados disponibilizados pelo Tribunal; e

V – credenciais de acesso (nome de usuário e senha), as quais serão criptografadas e utilizadas apenas para fins de autenticação daqueles que venham a acessar áreas restritas.

§ 3º Os portais do Tribunal na Internet poderão fazer uso de arquivos, conhecidos como cookies, para registro e armazenamento, no dispositivo do usuário, das informações de preferências e de atividades prévias efetuadas em suas páginas.

§ 4º As informações de que trata o parágrafo anterior serão utilizadas para fins estatísticos e de aprimoramento dos serviços, mediante o consentimento do usuário titular dos dados.

§ 5º Se o usuário recusar o uso de cookies, nem todos os recursos de navegação no site e nos serviços poderão ser acessados.

§ 6º Os dados pessoais coletados e tratados nos sítios eletrônicos e sistemas informatizados do Tribunal poderão ser regulados por atos normativos específicos, que deverão ser interpretados de acordo com esta Política.

Art. 40. Na ocasião do primeiro acesso ao portal institucional do TJRN, deverá ser apresentada ao visitante uma mensagem padronizada, indicando que o prosseguimento na visita e nos demais acessos significará manifestação inequívoca de consentimento para a coleta e tratamento de dados pessoais, nos termos desta Política.

§ 1º A mensagem deverá ser apresentada ao visitante de forma clara e objetiva, e conter indicação a respeito do uso de cookies, quando for o caso, mencionando os tipos utilizados e a existência de cookies de terceiros.

§ 2º Ao final da mensagem, deverá ser inserido um link para esta Política, bem como um botão de confirmação da sua aceitação.

§ 3º O consentimento vigorará enquanto o visitante não o revogar expressamente.

§ 4º A mensagem poderá ser reapresentada ao visitante periodicamente, para confirmação do fornecimento de consentimento.

Art. 41. Caso haja solicitação do titular, os dados pessoais coletados via Portal Institucional poderão ser excluídos antes do prazo. No entanto, por motivos legais, por determinação judicial ou para fins de auditoria e segurança, eles poderão ser mantidos por período superior ao determinado, findo o qual, serão excluídos com uso de métodos seguros de eliminação. Parágrafo único. Caso o Titular retire seu consentimento para finalidades fundamentais ao funcionamento do(s) serviço(s) do Portal Institucional, algumas funcionalidades poderão ficar indisponíveis.

Art. 42. O CGPDP deverá definir os procedimentos e mecanismos necessários à fiscalização do cumprimento da PPPDP.

Parágrafo único. A inobservância da presente política acarretará a apuração da responsabilidade penal, civil e administrativa previstas nas normas internas do Tribunal e na legislação em vigor.

Art. 43. O PJRN atuará de forma colaborativa com as atividades de fiscalização promovidas por outros órgãos legitimamente interessados, desde que sejam observadas as seguintes condições:

I – sejam informadas em tempo hábil;

II – tenham motivação objetiva e razoável;

III – não afetem a proteção de dados pessoais não abrangidos pelo propósito da fiscalização; e

IV – não causem impacto, dano ou interrupção nos equipamentos, pessoal ou atividades do Tribunal.

Art. 44. A proteção de dados pessoais de magistrados, servidores, profissionais terceirizados e demais colaboradores deverá observar as determinações fixadas pelo CNJ e pela ANPD, na forma da LGPD e das legislação e regulamentação correlatas.