Institui a Política Geral de Privacidade e Proteção de Dados Pessoais, no âmbito do Poder Judiciário do Estado do Tocantins e adota outras providências.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO TOCANTINS, no uso de suas atribuições legais e regimentais,
CONSIDERANDO que a proteção dos dados pessoais é um direito do titular e um dever para aqueles que fazem uso legal deles;
CONSIDERANDO a necessidade de regulamentar e orientar o tratamento de dados pessoais no exercício das atribuições e funcionamento do Poder Judiciário do Estado do Tocantins e suas dependências;
CONSIDERANDO a necessidade de adequação à Lei nº. 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados - LGPD;
CONSIDERANDO a Resolução do Conselho Nacional de Justiça n°. 363, de 12 de janeiro de 2021, que estabelece medidas para o processo de adequação a` Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos Tribunais;
CONSIDERANDO a Resolução do Conselho Nacional de Justiça n°. 370, de 28 de janeiro de 2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);
CONSIDERANDO a Resolução do Conselho Nacional de Justiça n°. 396, de 07 de junho de 2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Portaria do Conselho Nacional de Justiça n°. 162, de 10 de junho de 2021, que aprova Protocolos e Manuais criados pela Resolução CNJ nº. 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO o contido nos processos SEI nº 21.0.000018139-8 e SEI nº 21.0.000002566-3;
RESOLVE:
CAPI´TULO I
DISPOSIC¸O~ES PRELIMINARES
Art. 1º Instituir a Política Geral de Privacidade e Proteção de Dados Pessoais e Institucionais, no âmbito deste Poder Judiciário do Estado do Tocantins - PJTO, à luz da Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD).
Parágrafo único Esta Portaria tem como principal objetivo estabelecer, de forma clara e transparente, as orientações quanto ao uso, tratamento, privacidade e proteção dos dados pessoais e institucionais, físicos e digitais, inclusive, durante a navegação nos portais eletrônicos do Poder Judiciário do Estado do Tocantins, e elevar a maturidade na gestão dos riscos dessas informações no exercício de sua missão institucional e conscientização nos níveis estratégicos, táticos e operacionais.
CAPI´TULO II
TERMOS E DEFINIÇÕES
Art. 2º Para os fins desta Portaria, considera-se:
I - agentes de tratamento: o controlador e o operador;
II - anonimização: utilização de meios técnicos razoáveis e disponíveis, no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
III - ativo: qualquer elemento que represente valor para o Poder Judiciário do Estado do Tocantins, tal como, a informação;
IV – ativos de informação: meios de armazenamento, transmissão e processamento de informação, sistemas de informação, locais onde se encontram esses meios, e as pessoas que a eles tem acesso;
V - autoridade nacional: órgão vinculado à Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados, em todo o território nacional;
VI - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
VII - ciclo de vida dos dados pessoais: envolve todas as fases do tratamento, do início ao fim;
VIII - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
IX - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
X - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
XI - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
XII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
XIII – incidente de segurança da informação: evento que viola ou representa ameaça atual ou iminente de violação de política de segurança, de uso aceitável ou de prática de segurança padrão;
XIV - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
XV - público interno: magistrados, servidores e demais colaboradores;
XVI - público externo: usuários dos serviços oferecidos pelo Poder Judiciário do Estado do Tocantins ou que possuam alguma relação com a instituição;
XVII - relatório de impacto à proteção de dados pessoais: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
XIX - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XX - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XI – usuário: qualquer pessoa que acesse os sítios eletrônicos, inclusive aplicativos para dispositivos móveis, do Poder Judiciário Estado do Tocantins.
CAPI´TULO III
DOS PRINCÍPIOS
Art. 3º Os princípios previstos no art. 6º, da Lei Geral de Proteção de Dados, deverão ser observados na atividade de tratamento de dados pessoais e institucionais, quais sejam:
I – boa-fé´: convicção de agir com correção e em conformidade com o direito;
II – finalidade: a realização do tratamento dos dados deve possuir propósitos legítimos, específicos, explícitos e informados ao titular dos dados;
III – adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados;
IV – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, considerados apenas os dados pertinentes, proporcionais e não excessivos;
V – livre acesso: garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais, bem como sobre a integralidade deles;
VI – qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do seu respectivo tratamento;
VII – transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais e sobre os respectivos agentes de tratamento;
VIII – segurança e prevenção: utilização de medidas técnicas e administrativas que garantam a proteção dos dados pessoais de acessos não autorizados e a prevenção da ocorrência de danos em situações acidentais ou ilícitas que gerem destruição, perda, alteração, comunicação ou difusão desses dados;
IX – não discriminação: vedação da realização do tratamento de dados para fins discriminatórios, ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração de que os agentes de tratamento da instituição são responsáveis por este e adotam medidas eficazes para o cumprimento das normas de proteção dos dados pessoais.
Parágrafo único. Da mesma forma, devem ser observados os princípios previstos no art. 23, da Resolução n°. 396, de 07 de junho de 2021, do Conselho Nacional de Justiça n° 396, que sejam relacionados à proteção de dados pessoais e institucionais.
CAPI´TULO IV
DO CONTROLADOR, DO ENCARREGADO E DO OPERADOR
Art. 4º O Tribunal de Justiça do Estado do Tocantins exercerá a função de Controlador de tratamento dos dados pessoais, no âmbito deste Poder Judiciário, a quem compete:
I - instituir e nomear os representantes do Poder Judiciário que exercerão as atribuições afetas ao órgão Encarregado pela proteção de dados pessoais, na forma da lei;
II - orientar magistrados, servidores e demais colaboradores sobre o processo de conformidade com a Lei Geral de Proteção de Dados e padrões mínimos de segurança;
III - orientar os Operadores de tratamento de dados pessoais, na forma da lei, sobre as práticas a serem adotadas quanto à proteção de dados pessoais, registros de tratamento, segurança da informação e com os ativos de informação;
IV - manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse, exigindo que o Operador também o faça;
V - elaborar relatório de impacto à proteção de dados pessoais, inclusive de dados pessoais sensíveis, referente às suas operações de tratamento de dados, nos termos do art. 38, parágrafo único, da Lei Geral de Proteção de Dados;
VI - comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
Parágrafo único. As orientações previstas nos incisos II e III; a metodologia utilizada para a coleta de dados pessoais; a metodologia da segurança das informações e o mecanismos de mitigação de risco já adotados ou futuros, devem ser propostas e supervisionadas conjuntamente pelo Encarregado, Comitê Gestor de Proteção de Dados Pessoais e Comitê Gestor de Segurança da Informação Multidisciplinar, no âmbito de suas competências.
Art. 5º O órgão Encarregado de proteção de dados pessoais, no âmbito do Poder Judiciário do Estado do Tocantins, está vinculado à Presidência do Tribunal de Justiça e atuará de forma permanente, sendo responsável, entre outras atribuições determinadas pelo Controlador ou estabelecidas em normas complementares, por:
I - representar o Controlador perante a Autoridade Nacional de Proteção de Dados, outras instituições e titulares de dados;
II - receber, responder e adotar providências, centralizando todas as informações, comunicações, requerimentos, reclamações envolvendo a proteção de dados pessoais;
III - buscar e promover o intercâmbio de informações e boas práticas relacionadas à proteção de dados pessoais;
IV - fornecer orientações específicas sobre as práticas a serem adotadas em relação à proteção de dados pessoais, mediante protocolos operacionais padrões, instruções normativas ou outro ato com força normativa;
V - acompanhar a implementação da Lei Geral de Proteção de Dados;
VI - propor a realização de cursos de capacitação e campanhas de conscientização para que se promova a contínua especialização e qualidade das atividades a serem desempenhadas, no âmbito deste Poder Judiciário do Estado do Tocantins;
VII - apresentar a proposta de relatório de impacto, quando solicitado e na forma da lei;
§ 1º As atribuições do Encarregado poderão ser exercidas por mais de uma pessoa, todas designadas por ato da Presidência do Tribunal de Justiça do Estado do Tocantins que indicará o responsável por coordenar as atividades.
§ 2º O Encarregado, o Comitê^ Gestor de Proteção aos Dados Pessoais, o Comitê Gestor de Segurança da Informação Multidisciplinar e o Núcleo de Inteligência e Segurança Institucional deverão atuar de forma articulada para garantir a segurança e proteção dos dados pessoais e promover boas práticas relacionadas ao tema.
§ 3º Para a elaboração do relatório de impacto, o Encarregado deverá acionar o Comitê Gestor de Proteção de Dados Pessoais.
Art. 6º O Operador é a pessoa, física ou jurídica, de direito público ou privado, externa ao quadro funcional desta instituição que realiza tratamento de dados pessoais específicos, expressamente previstos em contrato, convênio ou instrumentos congêneres, em nome e por ordem do controlador, na forma da lei e em estrita observância desta Portaria.
§ 1º O contrato, convênio ou instrumentos congêneres, segundo o caput deste artigo, deverá ser firmado em estrita observância ao interesse público, devendo conter cláusulas expressas quanto à competência administrativa e tipo de tratamento que será realizado, especificando cada operação, sua adequação, necessidade e finalidade, bem como a responsabilidade do Operador em adotar os requisitos de segurança estabelecidos e manter o devido registro das ações realizadas para o respectivo tratamento, na forma da lei, e submissão às demais diretrizes desta Portaria.
§ 2º O referido contrato, convênio ou instrumentos congêneres deverá conter, ainda, cláusulas de suspensão do tratamento e eliminação de dados pessoais, além do prévio relatório de impacto de proteção de dados.
§ 3º Em casos de incidentes de segurança da informação, o operador deverá notificar, imediatamente, o Controlador, na forma expressamente estabelecida.
Art. 7º As minutas de contratos, convênios ou instrumentos congêneres com terceiros, em vigor na data da publicação desta Portaria, que autorizem o compartilhamento de dados, deverão ser revistos e adequados em conformidade com os termos desta Política, a Lei Geral de Proteção de Dados e atos normativos específicos do Conselho Nacional de Justiça.
CAPI´TULO V
DO TRATAMENTO DOS DADOS PESSOAIS
Seção I
Dos Dados Pessoais, Dados Pessoais Sensíveis e Dados Anonimizados
Art. 8º Nos termos do art. 23 , da Lei Geral de Proteção de Dados e no âmbito do Poder Judiciário do Estado do Tocantins, o tratamento dos dados pessoais deve ser realizado com observância aos princípios desta Política e para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, podendo ocorrer no desempenho das seguintes atividades:
I - durante uso de seus sítios eletrônicos e serviços;
II - em processos judiciais e administrativos;
III - para cumprimento de obrigações legais com servidores, magistrados e demais colaboradores;
IV - para garantia da segurança institucional e todos os seus ativos, inclusive o serviço de prestação jurisdicional e demais serviços oferecidos;
V - em capacitações e eventos;
VI - estudos e pesquisas;
VII - unidades médicas, odontológicas ou psicossociais ou programas de promoção à saúde;
§ 1º Durante o processo contínuo de conformidade é possível que se identifique outras situações, atuais ou futuras, em que seja necessário o tratamento de dados pessoais, comprometendo-se o Controlador a zelar pela transparência, na forma da lei;
§ 2º Toda atividade que não se enquadre em uma das hipóteses de tratamento especificadas no art. 7º, incisos II a X, da Lei Geral de Proteção de Dados, dependerá do consentimento do titular dos dados, expresso e inequívoco.
§ 3º O tratamento de dados pessoais sensíveis poderá ser realizado, desde que em estrita observação das disposições da Seção II, da Lei Geral de Proteção de Dados.
§ 4º O tratamento realizado para fins acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado ou atividades de investigação e repressão de infrações penais, não se submete a Lei Geral de Proteção de Dados, conforme expressa previsão no art. 4º dessa lei, mas deverá observar os princípios da finalidade, boa-fé, ética, legalidade, entre outros, bem como adotar as cautelas de segurança da informação, cabendo ao Comitê Gestor de Proteção de Dados deliberar em casos específicos.
§ 5º Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta Portaria, salvo quando for revertido o processo de anonimização ao qual foram submetidos, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido na forma da lei.
Seção II
Dos Dados Pessoais de Crianças e Adolescentes
Art. 9º O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender seu melhor interesse, em observância à Lei Geral de Proteção de Dados e ao Estatuto da Criança e do Adolescente, devendo:
I - ser realizado com o consentimento expresso, em destaque e inequívoco por um dos pais ou responsável legal;
II - atender a finalidade específica para o tratamento;
III - não condicionar a participação de crianças e de adolescentes, em eventos promovidos pelo Controlador, ao fornecimento de informações pessoais além das estritamente necessárias à atividade;
§ 1º As informações sobre o tratamento de dados devem ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário.
§ 2º Dispensa-se o consentimento quando os dados pessoais forem coletados para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento dado por um dos pais ou responsável legal.
Seção III
Da Navegação nos Sítios Eletrônicos Institucionais
Art. 10 Esta Portaria contempla as diretrizes da política de navegação, privacidade e termos de uso dos sítios eletrônicos, inclusive aplicativos para dispositivos móveis, do Poder Judiciário do Estado do Tocantins, que deverão ser disponibilizadas em local de fácil acesso e de forma clara, na página destinada às informações sobre a Lei Geral de Proteção de Dados e sua adequação nesta instituição, devendo conter no mínimo as seguintes informações:
§ 1º O Poder Judiciário do Tocantins disponibiliza diversos serviços ao usuário, cujo acesso pode ser público sem credenciamento, público com credenciamento prévio ou restrito, sendo que, apenas as informações de acesso público sem credenciamento dispensam o uso de usuário e senha.
§ 2º A visualização de conteúdo público com credenciamento prévio será concedida a qualquer pessoa, após cadastro, com o fornecimento de algumas informações pessoais mínimas necessárias para a validação de conta e criação de um usuário e senha, sendo que as informações pessoais não poderão ser utilizadas para outras finalidades sem relação com os serviços acessados.
§ 3º O usuário será responsável pela veracidade das informações fornecidas ao se cadastrar, não devendo compartilhar seu usuário e senha com terceiros, pois são de uso pessoal e intransferível.
§ 4º As informações que venham a ser coletadas durante a navegação do usuário, serão utilizadas exclusivamente para fins estatísticos, continuidade, segurança e melhoramento dos serviços prestados, comprometendo-se o Tribunal de Justiça do Estado do Tocantins a não os repassar a terceiros, salvo por ordem judicial ou expressa previsão legal.
§ 5º Durante a navegação e para o aperfeiçoamento da experiência do usuário, poderão ser coletadas algumas informações e enviado pequenos arquivos de texto (cookies) para o dispositivo de informática utilizado pelo usuário, o qual será previamente informado.
§ 6º Ao acessar o portal do Tribunal de Justiça (www.tjto.jus.br) e demais sítios eletrônicos do Poder Judiciário, o usuário será informado sobre a necessidade de autorização, coleta e utilização dessas informações, nos termos desta Política, ressalvadas as hipóteses que dispensam o consentimento.
§ 7º O Tribunal de Justiça do Estado do Tocantins se responsabiliza exclusivamente pelas informações disponíveis nos seus portais institucionais sobre as quais possui controle, não podendo responder por conteúdo, manifestação, opinião, notícias ou serviços de terceiros, salvo expressa previsão legal.
Seção IV
Do Compartilhamento de Dados Pessoais, Uso de Dados Pessoais Compartilhados e Transferência Internacional
Art. 11 O compartilhamento com organizações públicas ou privadas, bem como, o uso de dados por elas compartilhados, deverão ocorrer no cumprimento de suas obrigações legais ou regulatórias, de acordo com a finalidade legal, e adotando-se os níveis de proteção adequados, observados os artigos 26 e seguintes, da Lei Geral de Proteção de Dados e as diretrizes desta Portaria.
Parágrafo único. Em se tratando de transferência internacional, observadas as hipóteses legais, o recebedor dos dados pessoais deverá ainda comprovar as garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais e demais disposições, nos termos do art. 33 e seguintes, da Lei Geral de Proteção de Dados.
Seção V
Do Término do Tratamento e Eliminação dos Dados Pessoais
Art. 12 Deverá ser encerrado o tratamento de dados pessoais e eliminados, no âmbito e nos limites técnicos das atividades, nas seguintes hipóteses:
I - a finalidade for alcançada, deixar de ser pertinente ou necessária;
II - esgotar o período de tratamento sem que haja prorrogação;
III - revogação do consentimento ou solicitação do titular, resguardado o interesse público;
IV - identificado descumprimento legal ou por determinação da Autoridade Nacional de Proteção de Dados.
Art. 13 Os dados pessoais poderão ser conservados para atender às seguintes finalidades, ressalvadas as demais hipóteses legais:
I - cumprimento de obrigação legal ou regulatória pelo Controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Portaria;
IV - uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
CAPI´TULO VI
DOS DIREITOS DOS TITULARES
Art. 14 São direitos do titular dos dados pessoais tratados, no âmbito do Poder Judiciário do Estado do Tocantins, sem prejuízo de outros e ressalvadas as situações em que deve ser observado o sigilo ou a restrição de acesso, na forma da lei, requerer gratuitamente:
I - confirmação da existência, finalidade, forma, duração e compartilhamento do tratamento;
II - acesso aos dados, correção de dados incompletos, inexatos ou desatualizados;
III - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Portaria e demais normas legais e regulatórias;
IV - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
V - revogação do consentimento e eliminação dos dados pessoais eventualmente tratados;
VI - Opor-se ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Portaria e demais normas legais ou regulatórias.
Parágrafo único. O exercício dos direitos acima deve ser realizado mediante requerimento expresso do titular ou de representante legalmente constituído, conforme canais de atendimento disciplinados no Capítulo VII desta Portaria.
CAPI´TULO VII
DOS CANAIS DE ATENDIMENTO
Art. 15 Os canais oficiais de atendimento, referentes ao tratamento de dados pessoais, serão divulgados, no sítio eletrônico institucional, devendo conter no mínimo:
I - as informações para contato da Ouvidoria;
II - a identidade e informações para contato do Encarregado;
III - os formulários de exercício de direito;
IV - fluxo de atendimento.
§ 1º As reclamações e demais comunicações dos titulares, referentes à proteção de dados pessoais, deverão ser dirigidas, preferencialmente, para a Ouvidoria, que as encaminhará ao Encarregado, para análise e resposta.
§ 2º Em casos de maior complexidade deverá ser acionado o Comitê Gestor de Proteção aos Dados Pessoais para estudo e apresentação de proposta de solução ao Presidente do Tribunal de Justiça do Estado do Tocantins.
§ 3º As respostas podem ser enviadas por e-mail, pelo próprio portal eletrônico da Ouvidoria ou, se preferir, o titular dos dados ou seu representante legal poderá receber, fisicamente, na sede da Ouvidoria.
§ 4º O titular dos dados pessoais tem o direito de peticionar em desfavor do Controlador diretamente à Autoridade Nacional de Proteção de Dados.
CAPI´TULO VIII
DA SEGURANÇA E BOAS PRÁTICAS
Art. 16 Esta Portaria não substitui a Política de Segurança da Informação, já adotada por este Tribunal de Justiça em ato próprio, atualmente instituída pela Portaria nº 3433/2017 - PRESIDÊNCIA/ASPRE, de 26 de junho de 2017, a qual versa sobre o conjunto de medidas técnicas e administrativas destinadas à proteção dos ativos de informação.
Art. 17 Este Tribunal de Justiça investe em recursos técnicos e humanos para atender os critérios de segurança e boas práticas aceitas, nacional e internacionalmente, reforçando o compromisso do Controlador em:
I - implementar e aperfeiçoar continuamente as boas práticas de governança, conforme regulamentos específicos;
II - adotar as medidas técnicas e administrativas a fim de proteger a segurança e privacidade dos dados pessoais, bem como dos sistemas de armazenamentos;
III - aperfeiçoar a estrutura dos seus sistemas de forma a atender aos requisitos de segurança aos padrões de boas práticas e de governança;
IV - adotar criptografia e recursos de anonimização de dados pessoais, sempre que possível;
V - investir continuamente em mecanismos tecnológicos, na contínua capacitação e recursos humanos especializados, visando resguardar a segurança da informação e aspectos de confidencialidade, integridade e disponibilidade.
Parágrafo único. Embora sejam permanentes os esforços em promover um ambiente institucional seguro, em meio físico e digital, não é possível garantir a não ocorrência de um incidente de segurança e violação da proteção dos dados pessoais, sobretudo, em razão das diversificações de ameaças e riscos cibernéticos.
Art. 18 A cultura de segurança da informação depende de contínuas ações de conscientização e sensibilização do público interno e externo.
§1º Entende-se como cautelas mínimas para proteção de dados pessoais no âmbito do Poder Judiciário do Estado do Tocantins:
I - utilizar senhas fortes, contendo números, letras minúsculas e maiúsculas e símbolos;
II - não compartilhar senhas e não deixá-las expostas;
III - manter a tela bloqueada ao se afastar dos equipamentos utilizados para acessar os sistemas;
IV - verificar os remetentes de e-mails e não baixar ou clicar em links suspeitos;
V - não compartilhar com terceiros as informações contidas em documentos, físico ou digital, que tenha acesso em razão da função, de natureza sigilosa, restrita ou pública que possam afetar algum ativo institucional, salvo quando devidamente autorizado, cuja violação pode ensejar as sanções de lei;
VI - reportar imediatamente qualquer incidente de segurança que viole ou possa comprometer a segurança e privacidade de dados pessoais e institucionais.
§2º Todas as pessoas, inclusive magistrados, servidores e demais colaboradores do Controlador ou Operador, que realizem uma ou mais operações de tratamento de dados pessoais, devem observar as regras de conduta e medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 19 Em casos de incidentes de segurança que causem riscos ou danos à proteção de dados pessoais e ao titular, deverão ser empenhados todos os esforços na solução do problema e na mitigação de danos.
Parágrafo único. A Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Justiça, quando necessário, deverão ser comunicados, observando-se o art. 48, da Lei Geral de Proteção de Dados.
Art. 20 A violação dos termos desta Política, da Lei Geral de Proteção de Dados e demais atos regulatórios, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.
CAPI´TULO IX
DISPOSIÇÕES FINAIS
Art. 21 O Tribunal de Justiça do Estado do Tocantins compromete-se a zelar, atualizar e aperfeiçoar seu processo de conformidade com a Lei Geral de Proteção de Dados, sempre que necessário ou à medida que novas normas, princípios, recomendações e entendimentos que forem emitidos pelo Conselho Nacional de Justiça, Autoridade Nacional de Proteção de Dados ou por força de Lei.
Art. 22 Deverão ser apresentados pelo Comitê Gestor de Proteção de Dados Pessoais propostas de procedimentos de conformidade e mecanismos de fiscalização do cumprimento desta Política.
Art. 23 Os casos omissos deverão ser submetidos ao Comitê Gestor de Proteção de Dados Pessoais que apresentará proposta de solução à Presidência deste Tribunal de Justiça, observadas as disposições da Lei nº 12.965, de 23 de abril de 2014 (“Lei do Marco Civil da Internet”) e da Lei nº 12.527, 28 de novembro de 2011 (“Lei de Acesso à Informação”).
Art. 24 Esta Portaria entra em vigor na data de sua publicação.
Publique-se. Cumpra-se.
Desembargador JOÃO RIGO GUIMARÃES
Presidente