O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DE RONDÔNIA, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a Lei n. 13.709, de 14 de agosto de 2018, que instituiu a Lei Geral de Proteção de Dados Pessoais (LGPD), dispondo sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural, ou pessoa jurídica de direito público, ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural;

CONSIDERANDO a Resolução n. 363, de 12 de janeiro de 2021, do Conselho Nacional de Justiça, que estabeleceu medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais; 

CONSIDERANDO a Resolução n. 199, de 11 de maio de 2021, do Tribunal de Justiça do Estado de Rondônia, que aprovou a Política Geral de Privacidade e Proteção de Dados Pessoais no âmbito do Poder Judiciário do Estado de Rondônia;

CONSIDERANDO o art. 7º, inciso II, da citada Política Geral de Privacidade e Proteção de Dados Pessoais, que confere ao controlador a competência para estabelecer as diretrizes para a Política de Governança de Dados Pessoais e seus respectivos programas, incluindo a definição das formas de tratamento dos dados pessoais no âmbito do TJRO, de modo a assegurar a auditabilidade dos processos, a aplicação de metodologia de gestão de riscos no tratamento de dados e a adoção de metodologias de segurança da informação;

CONSIDERANDO o Processo SEI n. 0006553-62.2025.8.22.8000;

CONSIDERANDO a decisão do Tribunal Pleno em sessão administrativa realizada no dia 25/08/2025,

 

RESOLVE:

 

Art. 1º Instituir a Política de Governança de Dados Pessoais no âmbito do Poder Judiciário do Estado de Rondônia (PJRO).

 

Art. 2º A Política de Governança de Dados Pessoais tem como finalidade estabelecer diretrizes, princípios e responsabilidades para garantir a adequada gestão dos dados pessoais no PJRO.

 

 CAPÍTULO I

DO TRATAMENTO DE DADOS PESSOAIS NO PJRO

Art. 3º Todo tratamento de dados pessoais realizado no âmbito do PJRO observará sua finalidade pública e a persecução do interesse público, com o objetivo de executar e cumprir suas atribuições e competências constitucionais, legais e regulamentares, atendendo-se igualmente os seguintes critérios:

I – para uma determinada operação de tratamento de dados pessoais deve haver:

a) uma respectiva finalidade específica;

b) consonância ao interesse público; e

c) lastro em regra de competência administrativa aplicável à situação concreta. 

II – o tratamento de dados pessoais previsto no respectivo ato deve ser:

a) compatível com a finalidade especificada; e

b) necessário para a sua realização.

 

Parágrafo único. As atividades de tratamento serão regidas pelas diretrizes de proteção de dados previstas na legislação e nas normas internas da instituição, sem prejuízo da observância dos demais princípios e das demais regras atinentes aos atos administrativos.

 

Art. 4º O tratamento de dados pessoais pelo PJRO obedecerá ao princípio da transparência, na forma do artigo 5º, inciso XXXIII da Constituição Federal, sendo o sigilo, assim como o tarjamento, a anonimização ou a pseudonimização das informações pessoais, excepcionalmente autorizados quando:

I – houver disposição legal ou regulamentar específica que assim o determine; ou

II – a publicização dos dados pessoais representar risco iminente de dano à intimidade, vida privada, honra e imagem das pessoas, ou às liberdades e garantias individuais.

 

 

CAPÍTULO II

DO REGISTRO DAS OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS

 

 Art. 5º Toda operação que envolva o tratamento de dados pessoais, físicos ou digitais, no PJRO deverá ser documentada, contemplando-se, no respectivo registro, no mínimo:

I – descrição do processo de trabalho, que aborde de forma clara o contexto em que os dados são necessários e seu respectivo ciclo de vida, incluindo:

a) a forma de obtenção do dado utilizado;

b) os meios de armazenamento, processamento e controle dos dados;

c) eventuais compartilhamentos, internos e/ou externos, dos dados;

d) a forma de eliminação ou retenção dos dados; e

e) as medidas de segurança adotadas.

 

II – indicação dos sistemas ou meios físicos utilizados para coleta, armazenamento e eliminação ou retenção dos dados;

III – indicação dos(as) Operadores(as) envolvidos(as) no processo e seus(uas) respectivos(as) Encarregados(as) ou responsáveis legais, incluindo:

a) fornecedores(as) de sistemas;

b) consultorias; ou

c) fornecedores(as) de serviço de terceirização de mão de obra.

 

IV – indicação dos(as) Controladores(as) terceiros(as) envolvidos(as) no processo e seus(uas) respectivos(as) Encarregados(as) ou responsáveis legais, incluindo:

a) órgãos regulatórios, de fiscalização, controle externo ou gestão de serviços públicos; ou

b) partícipes em cooperação técnica, convênio, parceria ou instrumento congênere.

 

V – tipos de dados pessoais obtidos, utilizados ou criados no processo;

VI – operações de tratamento, conforme art. 5º, X da Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);

VII – categorias dos(as) titulares cujos dados são objeto de tratamento no processo;

VIII – finalidade(s) do tratamento dos dados pessoais;

IX – hipótese legal de tratamento aplicável, conforme arts. 7º, 11 e 14 da Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);

X – fundamento legal que orienta o processo;

XI – nome da unidade responsável pelo processo.

 

§1º A identificação dos(as) Encarregados(as) de Controladores(as) e Operadores(as) deverá contemplar nome, endereço e e-mail para contato.

§2º Os registros das operações de tratamento de dados deverão ser informados ao(à) Encarregado(a) do PJRO e atualizados sempre que houver mudança em algum dos aspectos enunciados neste artigo.

 

Art. 6º O Controlador  e o(a) Encarregado(a) devem manter e gerenciar registro unificado dos tratamentos de dados pessoais, com base nas documentações a que se refere o artigo 5º, devendo disponibilizar informativo resumido atualizado sobre as atividades de tratamento de dados pessoais, na forma do artigo 17 da Resolução n. 199/2021-TJRO, por meio de página dedicada no sítio eletrônico do PJRO.

 

 CAPÍTULO II

DOS RISCOS À PRIVACIDADE E PROTEÇÃO DE DADOS

 Seção I

Da Gestão dos Riscos

Art. 7º Compete ao(à) Encarregado(a) emitir pareceres e recomendações sobre as operações de tratamento de dados pessoais junto ao Comitê Gestor de Proteção de Dados (CGPD), com o objetivo de contribuir para a identificação de possíveis riscos, observando o plano orientador de gestão de riscos do PJRO e seus manuais, assim como para a identificação de oportunidades de melhoria em conformidade com a legislação de proteção de dados e as melhores práticas de privacidade e segurança da informação.

§1º O CGPD fará a gestão e monitoramento da implementação dos planos de ação destinados a suprir as lacunas em relação à proteção de dados pessoais no PJRO.

§2º Para garantir a efetividade da gestão dos riscos relacionados à proteção de dados, o PJRO poderá implementar outras metodologias que melhor se adequem às necessidades institucionais.

 

Seção II

Dos Riscos no Âmbito das Contratações

 

Art. 8º As contratações firmadas no PJRO que envolvam o compartilhamento de dados pessoais deverão contemplar medidas e salvaguardas que garantam o atendimento às diretrizes de proteção de dados estabelecidas na legislação e nas normas internas da instituição.

§ 1º Os contratos deverão prever obrigação de eliminação dos dados recepcionados pelos(as) terceiros(as), à luz dos parâmetros da finalidade e da necessidade especificados no artigo 5º desta Resolução.

§ 2º Na fase preparatória, a unidade contratante deverá elaborar um relatório de impacto à proteção de dados, considerando as orientações do(a) Encarregado(a) e baseando-se nas características esperadas do tratamento de dados que será objeto da contratação, sempre que for identificado um tratamento de alto risco, conforme critérios definidos pela Autoridade Nacional de Proteção de Dados  (ANPD).

  

Seção III

Das Boas Práticas de Proteção de Dados em Ambientes Físicos

 

 Art. 9º O tratamento de dados pessoais realizado por meios físicos no Tribunal ocorrerá excepcionalmente quando a informação não puder ser tratada pelos sistemas institucionais e deverá observar:

I – a proteção em relação a acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; e

II – a classificação e controle quanto ao grau de sigilo das informações.

Parágrafo único. As medidas indicadas no caput aplicam-se ao recebimento, transporte, armazenamento e eliminação dos documentos físicos que contenham dados pessoais.

 

Art. 10. Os documentos contendo dados pessoais recebidos deverão ser mantidos em locais reservados e protegidos de visualizações acidentais por pessoas não envolvidas na atividade.

Parágrafo único. Os(as) magistrados(as), servidores(as), estagiários(as) e demais colaboradores(as) do Tribunal deverão adotar medidas razoáveis para não deixar à mostra ou expor indevidamente documentos contendo dados pessoais em seus locais de trabalho, especialmente nas repartições públicas cujo acesso seja concedido ao público geral.

 

Art. 11. Os documentos físicos recebidos pelas unidades, após a digitalização, deverão ser preservados conforme os procedimentos de gestão documental e pelo prazo definido na tabela de temporalidade, sendo vedado o descarte com base apenas na existência da cópia digital.

§ 1º Os procedimentos e as tecnologias empregadas na digitalização de documentos físicos deverão observar os requisitos estabelecidos pelo Conselho Nacional de Arquivos (Conarq) e pelo Conselho Nacional de Justiça (CNJ), sendo sua regulamentação de competência da Comissão Permanente de Gestão Documental e Memória.

§ 2º A seleção e a eliminação antecipadas de processos físicos digitalizados somente serão admitidas em caráter excepcional, nos termos dos arts. 18 a 20 da Resolução CNJ nº 469/2022, observados os procedimentos, os critérios de temporalidade mínima e as hipóteses de vedação previstas no Manual de Digitalização do Poder Judiciário.

 

Art. 12. Ao utilizar recursos de impressão do Tribunal, os(as) magistrados(as), servidores(as), estagiários(as) e demais colaboradores(as) deverão certificar-se  de que retiraram a integralidade dos documentos impressos das respectivas bandejas.

§1º A identificação de itens de impressão esquecidos ou não retirados deve ser informada ao(à) gestor(a) da unidade, sendo vedado àquele(a) que identificar o material fazer qualquer uso do documento ou dos dados e informações nele contidos.

§2º É vedada a utilização de documentos que contenham dados pessoais para fins de rascunho, salvo se os dados pessoais puderem ser efetivamente anonimizados.

 

Art. 13. Os acessos físicos às instalações do Tribunal que contenham ativos de informação, incluindo, mas não se limitando às salas, armários, cofres e caixas-arquivo, devem ser adequadamente controlados e monitorados.

Parágrafo único. Dentre outras medidas, e observando-se a natureza e o grau de criticidade das informações, tal como as variáveis do local de armazenamento, consideram-se práticas de segurança física adequadas:

I – controle de acessos e consultas, a ser administrado pelo gestor da unidade responsável;

II – uso de fechaduras, lacres e instrumentos congêneres;

III – sinalização do grau de sigilo do documento, segundo os normativos do Tribunal;

IV – adoção de sistemas de monitoramento, alarme e vigilância patrimonial.

 

Art. 14. O acesso às áreas descritas no artigo 13 deve ser restrito aos servidores e agentes públicos responsáveis por sua gestão e manutenção.

§1º O acesso por terceiro(s) será permitido mediante autorização do(a) gestor(a) da unidade envolvida, desde que acompanhados(as) por servidor(a) por este(a) indicado(a), em todo o período da visita.

§2º O(s) terceiro(s) deverá(ão) estar identificado(s) durante o período da visita, e se responsabilizará(ão) pelo cumprimento das normas institucionais e legais relacionadas à proteção de dados e segurança das informações.

  

CAPÍTULO III

DA SEGURANÇA DA INFORMAÇÃO

 

 Art. 15. O tratamento de dados pessoais no PJRO deverá observar igualmente as diretrizes estabelecidas na Política de Segurança da Informação Cibernética, e demais normas e orientações técnicas da instituição.

 

Art. 16. Sempre que necessário, os sistemas e bancos de dados em que houver tratamento de dados pessoais, incluídas integrações entre sistemas e outras hipóteses de compartilhamento de dados pessoais com terceiros(as), serão avaliados pelo(a) Encarregado(a), que submeterá os resultados da avaliação à apreciação do CGPD para as devidas deliberações.

Parágrafo único. O(a) Encarregado(a), quando não dispuser de suficiente apoio do Grupo de Trabalho Técnico, poderá requerer auxílio de unidade técnica do PJRO ou, em último caso, de auditoria externa contratada para este fim.

 

Art. 17. O Processo de Resposta a Incidentes de Segurança com dados pessoais será executado conforme seu ato institutivo e poderá ser revisado mediante iniciativa do CGPD.

 

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

 

Art. 18. Esta Política deverá ser revisada e aperfeiçoada permanentemente, sempre que constatada a necessidade de novas previsões para conformidade do PJRO à Lei Geral de Proteção de Dados e às normas correlatas.

 

Art. 19. As alterações devem ser submetidas e aprovadas pelo CGPD e, posteriormente, submetidas ao Tribunal Pleno, observadas as normas regimentais internas.

 Art. 20. Toda nova atividade ou solução criada no PJRO que envolva o tratamento relevante de dados pessoais deverá se submeter à análise prévia do CGPD, que deliberará sobre os eventuais impactos na proteção de dados e sobre os controles necessários para a mitigação de riscos e a conformidade à legislação.

 

Art. 21. As omissões deste ato normativo serão dirimidas pelo(a) Presidente do CGPD, que poderá propor instruções para o completo cumprimento das disposições desta Política.

 

Art. 22. Esta Resolução entra em vigor na data de sua publicação.

 

Desembargador Raduan Miguel Filho

Presidente do Tribunal de Justiça do Estado de Rondônia