Privacidade e Proteção de Dados Pessoais - LGPD
A Lei 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que teve sua vigência iniciada em 18 de setembro de 2020, objetiva que os dados pessoais sejam tratados de maneira adequada e, ao mesmo tempo, sejam asseguradas a liberdade, a privacidade e o livre desenvolvimento das pessoas.
Atento à necessidade de adequação do Poder Judiciário às disposições do novo ato normativo, o Conselho Nacional de Justiça editou a Recomendação 73, de 20 de agosto de 2020 e no artigo 1º recomendou a todos os órgãos do Poder Judiciário brasileiro, à exceção do Supremo Tribunal Federal, a adoção de várias medidas destinadas a instituir um padrão nacional de proteção de dados pessoais existentes nas suas bases.
Em obediência à mencionada Recomendação e considerada a relevância do novo marco legal para a governança institucional, o Tribunal Regional Eleitoral do Estado de São Paulo instituiu grupo de trabalho para estudar e identificar medidas de adequação à LGPD, por meio da Portaria TRE-SP 274, de 15 de setembro de 2020, alterada pelas Portarias TRE-SP 123, de 6 de maio de 2021, e 199, de 17 de agosto de 2021.
Dentre outras atividades desenvolvidas, o grupo apresentou plano de ação à Administração do TRE-SP, o qual se encontra em fase de implementação, baseado nas disposições da Resolução CNJ 363, de 12 de janeiro de 2021 , que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais, e da Resolução TSE 23.650, de 9 de setembro de 2021 , que institui a Política Geral de Privacidade e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral.
A Política de Privacidade e Proteção de Dados Pessoais do Tribunal Regional Eleitoral do Estado de São Paulo encontra-se prevista na Resolução TRE-SP nº 627, de 31 de outubro de 2023, e dispõe sobre princípios, objetivos, diretrizes e instrumentos relativos ao tratamento de dados pessoais no âmbito da Justiça Eleitoral Paulista, incluídos os sensíveis; as responsabilidades do controlador, dos operadores e operadoras, do Encarregado ou Encarregada pelo tratamento de dados pessoais e do Comitê Gestor de Proteção de Dados Pessoais (CGPD)
O que são dados pessoais?
Dados pessoais são informações relacionadas a uma pessoa natural, isto é, pessoa física, tais como nome, filiação, data de nascimento, número de CPF, número da carteira de identidade, número de título de eleitor, etc.
O que são dados pessoais sensíveis?
São aqueles dados do artigo 5º, inciso II, da Lei Geral de Proteção de Dados Pessoais, ou seja, são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural. Possuem um potencial de gerar tratamento discriminatório, o que exige maior proteção legal.
O que é tratamento de dados pessoais?
Considera-se tratamento de dados pessoais toda operação realizada com dado pessoal que diga respeito à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O TRE-SP trata de dados referentes às pessoas naturais para o desempenho de suas competências de cadastrar eleitores, organizar eleições e julgar processos eleitorais.
Quando o TRE-SP trata de dados pessoais?
- Para cadastrar eleitores e manter seus cadastros atualizados e íntegros;
- Para anotar a condição de pessoa filiada ao partido político;
- Para examinar os pedidos de registros de candidaturas e promover o processo eleitoral;
- Para examinar a legalidade de doações feitas por pessoas naturais aos partidos políticos e às candidaturas, bem como a correção das prestações de contas de campanhas e de partidos políticos;
- Para contratar fornecedores de bens e serviços e dar cumprimento aos contratos;
- Para realizar concursos públicos, dar posse a servidores públicos e realizar os registros funcionais necessários;
- Para se comunicar com advogados, partes e terceiros em processos judiciais e administrativos;
- Para dar publicidade a informações de interesse público atual, histórico, no exercício da comunicação social ou na formação ou informação cidadã ou de seus servidores e colaboradores;
- Para consolidar dados estatísticos hábeis a melhorar seu desempenho, caso em que os dados pessoais, sempre que possível, são pseudonimizados ou anonimizados;
- Para credenciar usuários (por exemplo, de e-mails, do PJe, do SEI ou de outros sistemas e aplicativos que dependem de credenciamento);
- Para identificar pessoas que ingressam em suas dependências e nelas transitam;
- Para dar cumprimento a outras obrigações legais;
- Para dar cumprimento às ordens judiciais, tal como quando é pedido o endereço de um eleitor que precisa ser encontrado para responder a um processo;
- Para compartilhar dados específicos com órgãos públicos de controle, nos termos de lei ou de convênio.
O compartilhamento de dados pessoais, quando ocorre, tem uma finalidade específica e envolve apenas os dados estritamente necessários. Além disso, o compartilhamento é feito de forma segura, a fim de evitar a exposição indevida.
O prazo de descarte dos dados tratados pelo TRE-SP é o previsto na Tabela de Temporalidade de Documentos e Processos do TRE-SP, aprovada pela Resolução TRE-SP n° 597/2022.
A Lei Geral de Proteção de Dados Pessoais assegura ao titular o direito de que seus dados pessoais sejam tratados somente em conformidade com as regras nela expressas.
Cabe destacar, inicialmente, que os controladores e operadores deverão observar a boa-fé e diversos princípios elencados no artigo 6º da Lei Geral de Proteção de Dados Pessoais, quais sejam: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e, por fim, responsabilização e prestação de contas.
Por sua vez, as hipóteses legais de tratamento de dados pessoais estão descritas no artigo 7º da Lei Geral de Proteção de Dados Pessoais, cujo rol é reproduzido abaixo:
1ª) mediante o fornecimento de consentimento pelo titular, que deverá ser manifestado por escrito ou por outro meio que demonstre a manifestação de vontade do titular, a teor do artigo 8º, "caput", da LGPD;
2ª) para o cumprimento de obrigação legal ou regulatória pelo controlador;
3ª) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
4ª) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
5ª) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
6ª) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n. 9307, de 23 de setembro de 1996 (Lei de Arbitragem);
7ª) para a proteção da vida ou da incolumidade física do titular ou de terceiro;
8ª) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
9ª) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
10ª) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Cabe ressaltar que, além de o tratamento somente ser admitido quando presentes uma das hipóteses acima descritas, também é indispensável que seja aferida qual é a finalidade do tratamento dos dados, pois a Lei Geral de Proteção de Dados Pessoais somente permite o tratamento daqueles dados pessoais que realmente sejam necessários, adequados e suficientes para o atingimento dessa finalidade.
Por sua vez, o legítimo interesse do controlador somente poderá embasar o tratamento de dados pessoais para finalidades que sejam consideradas legítimas, que são avaliadas segundo situações concretas, as quais incluem, sem prejuízo de outras, o apoio e promoção de atividades do controlador, bem como a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, devendo ser respeitadas as legítimas expectativas do titular e seus direitos e liberdades fundamentais.
Deve ser salientado que se o tratamento dos dados pessoais basear-se no legítimo interesse do controlador, somente aqueles que de fato sejam necessários para a finalidade pretendida poderão ser tratados.
Agentes de Tratamento
As operações de tratamento de dados podem ser efetuadas por 2 (dois) tipos de agentes (são conhecidos como agentes de tratamento): o controlador e o operador.
Quem é o controlador?
Segundo a LGPD (art. 5º, VI), controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
No âmbito da Justiça Eleitoral paulista, o papel de controlador é exercido pelo Tribunal Regional Eleitoral do Estado de São Paulo (TRE-SP).
Quem é o operador?
O operador é definido pelo artigo 5º, inciso VII, da LGPD como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
No âmbito da Justiça Eleitoral paulista, são considerados operadores fornecedores e prestadores de serviços que realizam o tratamento de dados pessoais em nome e por ordem do TRE-SP.
Encarregado(a)
O(a) encarregado(a) é a pessoa natural ou unidade na instituição designada pelo controlador que constitui o canal de comunicação entre o controlador, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
São atribuições do(a) encarregado(a) (LGPD, art. 41,§2º):
1ª) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
2ª) receber comunicações da autoridade nacional e adotar
providências;
3ª) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
4ª) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
No âmbito do TRE-SP a função de encarregada é exercida pelo Dra. Fernanda Mendes Simões Colombini, Juíza Assessora da Presidência.
CONTATOS DA ENCARREGADA DO TRE-SP:
Nome completo: Dra. Fernanda Mendes Simões Colombini
Endereço: Rua Francisca Miquelina, 123 - 12º andar, Bela Vista - São Paulo - SP CEP: 01316-900
E-mail: encarregado.lgpd@tre-sp.jus.br
Direitos do Titular
Segundo a definição da LGPD (art. 5º, V), considera-se titular a "pessoa natural a quem se referem os dados pessoais que são objeto de tratamento". Na linguagem comum, a pessoa natural também é conhecida como pessoa física.
Caso queira exercer um dos direitos previstos na LGPD, acesse o
Formulário de Requisição de Direitos do Titular de Dados Pessoais
A Lei Geral de Proteção de Dados Pessoais traz uma série de direitos assegurados ao titular dos dados pessoais que são alvo de tratamento pelo controlador, conforme relação constante no artigo 18, "caput", e incisos:
1º) confirmação da existência de tratamento;
2º) acesso aos dados;
3º) correção de dados incompletos, inexatos ou desatualizados;
4º) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
5º) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos industrial e comercial;
6º) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da LGPD;
7º) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
8º) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
9º) revogação do consentimento, nos termos do art. 8º, §5º da lei.
É importante ressaltar que o exercício desses direitos é personalíssimo, ou seja, somente o titular dos dados poderá solicitá-los ao agente de tratamento, mediante requerimento expresso, exceto na hipótese de existência de representante legalmente constituído, conforme decorre do disposto no artigo 18, § 3º, da Lei Geral de Proteção de Dados Pessoais.
Vale lembrar que o titular de dados pessoais pode, se for o caso, valer-se de entidades que possuem a legitimidade de atuarem na defesa de tutela coletiva, a exemplo do Ministério Público, Defensoria Pública, Procon, Idec, OAB, etc.
Outro direito que a Lei Geral de Proteção de Dados confere ao titular dos dados pessoais é a possibilidade de peticionar em relação aos seus dados contra o controlador, perante a Agência Nacional de Proteção de Dados - ANPD, conforme dispõe expressamente o seu artigo 18, § 1º.
Recomenda-se, porém, que o titular de dados pessoais, primeiramente, apresente eventual reclamação perante o controlador e, somente em caso de não atendimento de sua reclamação, peticione à ANPD, considerando o disposto no artigo 55-J, inciso V, da LGPD.
Ademais, conforme possibilita o artigo 20, "caput", da LGPD, o titular dos dados pode solicitar a revisão de decisões tomadas unicamente com fundamento em tratamento automatizado de dados pessoais que atinjam seus interesses, abrangendo as decisões cuja finalidade seja a definição do perfil pessoal, profissional, de consumo e crédito, ou, ainda, os aspectos de sua personalidade.
Obrigações do Controlador
Considera-se controlador, segundo o artigo 5º, inciso VI, da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais".
No âmbito da Justiça Eleitoral paulista, o papel de controlador é exercido pelo Tribunal Regional Eleitoral do Estado de São Paulo (TRE-SP).
Dado o seu relevante papel, o controlador possui uma série de obrigações, que são relacionadas a seguir:
1ª) na hipótese de necessidade de comunicação ou compartilhamento de dados pessoais com outros controladores, será indispensável que o controlador obtenha consentimento específico do titular dos dados para finalidade própria, salvo no caso de o próprio titular tê-los tornado públicos de forma manifesta ou nas hipóteses legais de dispensa do consentimento, conforme disposto no artigo 7º, §§ 4º e 5º, da LGPD;
2ª) terá o ônus da prova de que o consentimento do titular dos dados pessoais foi obtido de acordo com a Lei Geral de Proteção de Dados Pessoais, conforme decorre do seu artigo 8º, § 2º;
3ª) nos casos em que o consentimento for necessário, se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com aquele manifestado originalmente, o controlador deverá cientificar previamente o titular dos dados sobre as mudanças de finalidade, ocasião na qual faculta-se ao titular a opção de renovação ou revogação do consentimento (artigo 9º, § 2º, da LGPD);
4ª) o controlador deve tratar somente os dados pessoais estritamente necessários para a finalidade pretendida, na hipótese de o tratamento ocorrer no seu legítimo interesse e, além disso, deve efetivar medidas que garantam a transparência, em decorrência do artigo 10, "caput" e §§ 1º e 2º, da LGPD;
5ª) o controlador deve zelar pela manutenção pública referente à informação acerca do tratamento de dados pessoais de crianças e adolescentes, especificamente sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares, por força do artigo 14, § 2º, da LGPD;
6ª) na hipótese de cumprimento de obrigação legal ou regulatória, cabe ao controlador a conservação dos dados pessoais que não foram eliminados, quando decorrido o período de tratamento, facultando-se o uso exclusivo desses dados, desde que anonimizados, ficando proibido o acesso por terceiros, conforme disposição expressa no artigo 16, inciso IV, da LGPD;
7ª) providenciar a confirmação de existência ou o acesso a dados pessoais, mediante requisição do titular, em formato simplificado, imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo específico referente ao Poder Público, conforme disposições da LGPD (art. 19, "caput" e incisos, combinado com o art. 23, § 3º);
8ª) no caso específico de decisões automatizadas, o controlador deverá fornecer, sempre que solicitadas, as informações claras e adequadas a respeito dos critérios e procedimentos em que foram embasadas, devendo ser respeitados os segredos comercial e industrial, em decorrência do disposto na lei (art. 20, § 1º);
9ª) na hipótese de transferência internacional de dados pessoais, o controlador deve oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados assegurados pela Lei Geral de Proteção de Dados Pessoais (art. 33, II);
10ª) o controlador possui o encargo de manutenção do registro das operações de tratamento de dados pessoais por ele realizadas, ficando sujeito à determinação da Agência Nacional de Proteção de Dados no sentido de que seja elaborado relatório de impacto à proteção de dados (pessoais ou sensíveis) referente às suas operações, conforme prescrevem os artigos 37 e 38 da LGPD;
11ª) o controlador deverá fornecer instruções para o operador realizar o tratamento de dados pessoais, conforme disposto no artigo 39 da LGPD;
12ª) o controlador deverá providenciar a indicação do encarregado pelo tratamento dos dados pessoais, bem como deverá divulgar publicamente, de forma clara e objetiva, de preferência no seu sítio eletrônico, a identidade do encarregado e as informações de contato, de acordo com a LGPD (arts. 23, III e 41);
13ª) caso haja violação ou descumprimento à legislação de proteção de dados, em razão do exercício de atividade de tratamento de dados pessoais, o controlador deverá providenciar a reparação devida na hipótese de ocorrência de dano a outrem de natureza patrimonial, moral, individual ou coletiva, em razão do disposto no artigo 42 da LGPD;
14ª) o controlador possui o dever de implementar medidas de segurança, técnicas e administrativas que sejam capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme disposição do artigo 46 da LGPD;
15ª) se ocorrer incidente de segurança que tenha potencial de risco ou dano relevante aos titulares de dados, o controlador deve comunicar tal fato à Autoridade Nacional de Proteção de Dados e ao titular, por força do artigo 48 da LGPD.