A Lei Geral de Proteção de Dados Pessoais (LGPD) causa impacto em diferentes setores e serviços e a todos os cidadãos, seja no papel de indivíduo, empresa ou governo. Sites de compras on-line, hospitais, bancos, escolas, teatros, hotéis, órgãos públicos... todos têm que se adequar para proteção de dados dos usuários.

 

Em vigor desde setembro de 2020, a Lei 13.709/2018, com alterações dadas pelas Leis 13.853/2019 e 14.058/2020, tem o principal objetivo de dar às pessoas maior controle sobre suas próprias informações a partir do estabelecimento de práticas transparentes, em qualquer atividade que esses dados sejam utilizados – tanto na forma digital quanto física; seja por pessoas físicas, seja por jurídicas.  

​

A norma cria, entre outras medidas, um importante instrumento para o cidadão: a decisão de consentir ou não que seus dados pessoais sejam coletados e tratados¹. Também possibilita, ao proprietário dos dados, alterar suas informações ou revogar o consentimento para sua utilização.  

​

Por não haver legislação específica sobre o assunto no País, a LGPD foi criada. Antes dela, só havia alguns dispositivos gerais no Código Civil, no Código de Defesa do Consumidor, na Lei de Acesso à Informação (LAI) e no Marco Civil da Internet. 

​

LGPD na 1ª Região

Antes mesmo da vigência da LGPD, o Tribunal Regional Federal da 1ª Região (TRF1) começou a se movimentar na busca pela proteção dos dados. Uma das medidas adotadas foi a inclusão, por meio da Portaria Presi 10418699/2020, da gestão de dados pessoais nos projetos estratégicos e prioritários da Corte, a fim de garantir a privacidade dos dados pessoais dos usuários. 

​

“Com a LGPD, o poder público passará por uma grande transformação. Será uma nova postura no tratamento da enorme quantidade de dados pessoais que trafegam por suas diferentes áreas, muitas vezes sem o devido controle e segurança”, ressaltou a gestora de dados pessoais do TRF1, Ana Clara Balsalobre. 

​

Ainda em 2020, foi implementado um projeto-piloto na Secretaria de Gestão de Pessoas (SecGP) para adoção da LGPD, com a realização de ações como inventário de dados pessoais, relatório de atividades de tratamento, adequação, campanhas educativas e elaboração de relatório de impacto. 

​

Em parceria com a empresa de tecnologia Solo Network, foram mapeadas todas as atividades de tratamento de dados pessoais desenvolvidas pela SecGP. Com base nas recomendações propostas pelo relatório de mapeamento, foram feitas diversas adequações nas rotinas das unidades da Secretaria. 

​

“A partir deste projeto foram mapeadas as demais secretarias do Tribunal. Esse trabalho auxilia, ainda, às seccionais no processo de implantação da LGPD nos estados que compõem a 1ª Região”, explicou Ana Clara. 

​

Política de Proteção de Dados Pessoais – Seguindo a Resolução CNJ 687/2020, sobre a implantação da Política de Segurança da Informação do Conselho e da Justiça Federal de 1º e 2° graus, o Tribunal divulgou a Resolução Presi 49/2021, que instituiu a Política de Proteção de Dados Pessoais (PPDP) no âmbito da Justiça Federal da 1ª Região. 

​

A intenção é garantir a proteção de dados pessoais – físicos ou eletrônicos  – e os direitos dos seus titulares, por meio de identificação e minimização de riscos e eventuais impactos que possam advir do tratamento e manipulação desses dados. 

​

A PPDP estabelece que o TRF 1ª Região e as seções judiciárias vinculadas designem os respectivos encarregados pelo tratamento de dados pessoais, instituam os Comitês Gestores de Proteção de Dados Pessoais (CGPD) e estabeleçam os documentos acessórios de proteção de dados pessoais locais. 

​

Comitê

No mesmo dia do estabelecimento da Política, o TRF1 criou o Comitê de Gestor de Proteção de Dados Pessoais (CGPD-TRF1), por meio da Portaria Presi 321/2021, com o objetivo de gerir a implementação da LGPD no Tribunal. 

​

O grupo é presidido pelo juiz federal em auxílio à Presidência Henrique Gouveia da Cunha e composto por servidores da Assessoria de Projetos de Suporte e Fomento à Atividade Judicial (Asfaj); Secretaria de Tecnologia da Informação (Secin); Secretaria de Governança, Gestão Estratégica e Inovação (Secge); Secretaria de Gestão de Pessoas (SecGP); Secretaria de Gestão Administrativa (SecGA); Secretaria Judiciária (Secju); Secretaria de Bem-Estar Social (Secbe) e Escola da Magistratura Federal da 1ª Região (Esmaf). 

​

“O Comitê é representado por diversas unidades do Tribunal e contribui para uma visão global das atividades da Justiça Federal da 1ª Região, permitindo uma maior integração, segurança, alinhamento e controle para conformidade à LGPD”, explicou Ana Clara Balsalobre, que integra o grupo. 

​

Segundo a gestora, inicialmente, foi feita a capacitação dos membros do Comitê Gestor e dos servidores de todas as seções judiciárias da 1ª Região quanto à LGPD. Depois disso, foram realizadas a identificação das áreas de risco potencial no Tribunal, por meio de mapeamento de importantes aspectos de segurança da informação, e a avaliação dos objetivos.  

​

“Desta forma, com um levantamento do nível de conformidade do Tribunal com a LGPD, produziu-se um plano de ação. É muito importante captar o maior número de informações de forma precisa, a fim de entender como se dará a operacionalização para garantir maior sucesso na implantação”, detalhou Ana Clara. 

​

O mencionado plano de ação mapeou as unidades do Tribunal para conhecer quais os dados circulam em cada unidade e passar informações acerca da LGPD, ajustando alguns procedimentos se necessário. 

​

Recomendações gerais

A área gestora da LGPD do Tribunal recomenda às unidades a adoção de algumas ações que podem resultar em grande segurança no que diz respeito à proteção de dados pessoais. São elas: 

​

1. Colete apenas os dados estritamente necessários para um determinado processo de trabalho; 

​

2. Antes de coletar dados pessoais, certifique-se de haver uma base legal para a atividade de tratamento executada (normalmente, para órgãos públicos, a base legal é o cumprimento de obrigação legal ou regulatória pelo controlador, art. 7º da LGPD); 

​

3. Os dados pessoais devem ser mantidos de forma a permitir a identificação das pessoas por um período não superior ao necessário para os fins a que se destinam; 

​

4. Dados pessoais devem ser permanentemente anonimizados, ou seja, deixar de ter vinculação com a pessoa titular dos dados ou excluídos no final do período de retenção, em todos os sistemas ou arquivos não estruturados (ex.: Word, Excel, etc.), exceto se a sua conservação for necessária e atender aos requisitos da LGPD. 

​

5. Os usuários de serviços web (serviços disponibilizados na internet/intranet) deverão ter acesso a dados e funções estritamente necessários; 

​

6. A unidade deve ter um processo periódico de revisão de credenciais de acessos aos sistemas e recursos utilizados pelos servidores, prestadores e estagiários lotados na unidade; 

​

7. Deverá ser mantido, pela unidade, um controle atualizado dos equipamentos e programas utilizados; 

8. A eventual perda de dados de equipamentos contendo informações da unidade deve ser declarada como um incidente de segurança e comunicada ao encarregado pelo tratamento de dados pessoais que, por sua vez, comunicará ao controlador dos dados; 

​

9. Todos os dados impressos devem estar sujeitos aos mesmos requisitos de segurança relacionados à confidencialidade; 

​

10. Todos os estagiários selecionados pelas unidades devem estar sujeitos a verificações de antecedentes, de acordo com as leis e regulamentos relevantes. O acesso dos estagiários aos sistemas deve ser restrito aos módulos, informações e dados necessários; 

​

11. Todos os dispositivos não supervisionados devem estar fisicamente seguros (exemplo: chaves nos armários e nas salas etc.); 

​

12. Os servidores e prestadores de serviço da unidade devem possuir e efetivamente utilizar cartões de identificação (crachá). 

​

Divulgação

Para dar visibilidade e publicidade ao tema, foi criada uma página sobre a Lei Geral de Proteção de Dados no portal do TRF1, com informações a respeito da Lei e e-mail de contato para que todos possam dirimir suas dúvidas e apresentar sugestões. “Em breve, será lançada a nova página, totalmente reformulada, contando, inclusive, com o formulário de tratamento de dados pessoais, para atendimento das solicitações dos titulares”, contou Ana Clara. de contato para que todos possam dirimir suas dúvidas e apresentar sugestões. 

​

A ideia é que a página seja atualizada constantemente, de forma a conscientizar os usuários sobre seus direitos no que diz respeito à proteção de dados. E a próxima atualização já está prevista: “Em breve, será lançada nova página totalmente reformulada, contando, inclusive, com o formulário de tratamento de dados pessoais, para atendimento das solicitações dos titulares”, contou Ana Clara. 

​

Como parte das ações de conscientização, a Secretaria de Gestão de Pessoas (SecGP) lançou o Manual LGPD, com o objetivo de informar as unidades de Gestão de Pessoas do Tribunal e das seccionais sobre pontos importantes para a compreensão e aplicação da Lei 13.709/2018. 

​

O Manual é dividido em três partes. A primeira apresenta noções gerais sobre a LGPD, destacando conceitos, princípios, direitos dos titulares, bases legais de tratamento, entre outros títulos.  

​

A segunda parte é direcionada à apresentação de Boas Práticas, que são regras básicas que orientam as atividades de tratamento de dados pessoais. Por fim, a terceira é composta por perguntas e respostas, envolvendo situações práticas das rotinas das unidades. 

​

Outra ação informativa promovida pelo TRF1 foi a campanha de divulgação realizada em parceria com a Assessoria de Comunicação Social (Ascom). Peças publicitárias encaminhadas aos e-mails do corpo funcional da 1ª Região disseminam e conscientizam os usuários sobre os principais conceitos trazidos pela LGPD. 

​

“O desafio para se adequar à Lei é enorme, mas é importante ressaltar que a imagem da instituição sai fortalecida quando se dá transparência ao que se faz com os dados pessoais e quando se está em conformidade”, reforçou Ana Clara Balsalobre. 

​

¹ Tratamento de dados é tudo o que pode ser feito com os dados pessoais, como a coleta, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação e compartilhamento.