RESOLUÇÃO Nº 627, DE 31 DE OUTUBRO DE 2023.

O TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso das atribuições que lhe são conferidas pelo art. 23, inciso XXI, do seu Regimento Interno,

CONSIDERANDO o disposto nos incisos X e XXXIII do art. 5º da Constituição Federal; na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); na Lei nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet; na Lei nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação (LAI); na Resolução CNJ nº 121, de 05 de outubro de 2010; na Resolução CNJ nº 215, de 16 de dezembro de 2015; e o disposto na alínea "c" do inciso VI do art. 1º da Resolução CNJ nº 363, de 12 de janeiro de 2021; Resolução CNJ nº 370, de 28 de janeiro de 2021; na Resolução TSE nº 23.650, de 9 de setembro de 2021;

CONSIDERANDO a Resolução TRE-SP nº 580/2022, que dispõe sobre a Política de Segurança da Informação (PSI) e as Normas Complementares de Segurança da Informação no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO que o direito à informação deve ser garantido de forma harmoniosa com a privacidade, intimidade, honra e imagem dos titulares e das titulares de dados pessoais cadastrados nos bancos de dados deste Tribunal, bem como com os direitos fundamentais de liberdade e de livre desenvolvimento da personalidade da pessoa natural; e

CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos titulares e das titulares nos atos e processos administrativos e judiciais,

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Revisar, atualizar e consolidar as normas referentes à Política de Privacidade e Proteção de Dados Pessoais; seus princípios, objetivos, diretrizes e instrumentos relativos ao tratamento de dados pessoais, incluídos os sensíveis; as responsabilidades do controlador, dos operadores e operadoras, do Encarregado ou Encarregada pelo tratamento de dados pessoais e do Comitê Gestor de Proteção de Dados Pessoais (CGPD).

§ 1º  As regras aqui delineadas têm como escopo a observância da Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), da Lei nº 12.965/2014 - Marco Civil da Internet, da Lei nº 12.527/2011 - Lei de Acesso à Informação (LAI), bem como das regulamentações e recomendações do Tribunal Superior Eleitoral (TSE), do Conselho Nacional de Justiça (CNJ) e da Autoridade Nacional de Proteção de Dados (ANPD).

§ 2º  A Política de Privacidade tem por fim esclarecer como são tratados os dados pessoais, inclusive nos meios digitais, no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo (TRE-SP), seus objetivos e destinação, agregando ao mesmo tempo transparência e proteção à privacidade dos(as) titulares, de modo a impedir a sua violação.

Art. 2º  Aplica-se esta Resolução a toda operação de tratamento de dados pessoais realizada pela Justiça Eleitoral Paulista, independentemente do meio de suporte utilizado, se físico ou eletrônico, e do local de tratamento, se presencial ou remotamente (teletrabalho), devendo ser observada por magistrados e magistradas, servidores e servidoras do quadro, requisitados e requisitadas, colaboradores e colaboradoras internos e externos, estagiários e estagiárias.

Art. 3º  A disciplina da proteção de dados pessoais no TRE-SP tem como fundamentos:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor;

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Art. 4º  Os termos, as expressões e as definições utilizados nesta Política são aqueles conceituados na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), sendo complementares às disposições estabelecidas nesta Resolução.

Art. 5º  Compete ao Comitê Gestor de Proteção de Dados Pessoais (CGPD) do TRE-SP a administração desta Política de Privacidade.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 6º  O tratamento de dados pessoais pelo TRE-SP é pautado pelo dever de boa-fé e a observância dos seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas. Parágrafo único. De modo a tutelar o direito à proteção de dados pessoais e à autodeterminação informativa das pessoas naturais, o TRE-SP deverá conciliar os princípios da publicidade e da eficiência com a proteção da intimidade e da vida privada da pessoa natural.

CAPÍTULO III

DAS DIRETRIZES

Art. 7º  O TRE-SP deverá observar as seguintes diretrizes nas ações de tratamento de sua responsabilidade:

I - definição de procedimentos que garantam os princípios da segurança da informação dos dados pessoais em todo o seu fluxo de tratamento e durante todo o seu ciclo de vida;

II - padronização do modo de tratamento de dados pessoais, com a adoção de anonimização ou pseudonimização, sempre que necessário;

III - elaboração ou adequação das políticas de privacidade e termos de uso;

IV - adequação dos seus normativos, formulários, sistemas e aplicativos informatizados à legislação de referência;

V - adequação do seu sítio eletrônico, para que disponibilize as informações exigidas pelos arts. 9º e 23, I, da LGPD;

VI - adequação de seus contratos, acordos de cooperação técnica, convênios ou atos similares;

VII - capacitação de magistrados e magistradas, servidores e servidoras do quadro, requisitados e requisitadas, colaboradores e colaboradoras internos e externos, estagiários e estagiárias, bem como conscientização do público interno e externo, acerca desta Política e das boas práticas e governança dela decorrentes.

CAPÍTULO IV

DO TRATAMENTO DOS DADOS PESSOAIS

SEÇÃO I

DOS REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS

Art. 8º  O tratamento de dados pessoais pelo TRE-SP deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas atribuições normativas.

§ 1º  O Regimento Interno do TRE-SP, o Regulamento Interno da Secretaria e o Código de Ética do TRE-SP, bem como demais normas internas ou provenientes do TSE, do CNJ ou da ANPD fundamentam o adequado tratamento dos dados pessoais cujas finalidades e limites são delineados nesta Política.

§ 2º  Em atendimento às suas atribuições, o TRE-SP poderá, no limite de sua finalidade pública, tratar dados pessoais com dispensa de obtenção de consentimento das respectivas e respectivos titulares, atuando de acordo com os objetivos aos quais o tratamento dos dados pessoais se destina, observados os princípios estabelecidos pelo art. 6º da LGPD e respaldada a sua atuação nas hipóteses elencadas no art. 7º, incisos II a X, art. 10, incisos I e II, art. 11, inciso II, art. 23 caput, e arts. 26 e 27, todos da LGPD.

§ 3º  Eventuais tratamentos que não estejam contemplados nas hipóteses previstas no parágrafo anterior estarão sujeitos à obtenção do consentimento dos (as) titulares.

§ 4º  O consentimento para tratamento de dados pessoais de criança deverá ser dado de forma específica e em destaque por ao menos um dos pais ou pelo responsável legal.

§ 5º  Quando o TRE-SP necessitar comunicar ou compartilhar com outros os respectivos dados pessoais tratados com fundamento no art. 7º, inciso I, da LGPD, deverá obter consentimento específico do titular ou da titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento legalmente previstas.

Art. 9º  O tratamento posterior dos dados pessoais poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular ou da titular, assim como os fundamentos e os princípios previstos nesta Resolução e na LGPD.

Art. 10.  Os contratos, convênios e instrumentos congêneres mantidos pelo TRE-SP deverão estar disponíveis para consulta pelos interessados e interessadas, nos termos da LAI, observada a proteção dos dados pessoais que não sejam essenciais ao cumprimento da referida lei e ao interesse público, de acordo com a LGPD, de modo a se evitar a exposição indevida de dados pessoais que não precisem ser publicizados.

Parágrafo único.  Para o cumprimento do disposto no caput, o TRE-SP deverá adotar medidas tais como a aposição de tarjas sobre dados pessoais ou a supressão parcial de números cadastrais.

Art. 11.  O TRE-SP pode requisitar informações acerca do adequado tratamento dos dados pessoais confiados a pessoas físicas ou jurídicas com quem mantenha contratos, convênios ou instrumentos congêneres.

Parágrafo único.  As pessoas físicas ou jurídicas mencionadas no caput deverão observar os regramentos estabelecidos por esta Resolução, além de cumprir os deveres contratuais e legais respectivos, dentre os quais se incluirão os seguintes:

I - firmar contrato ou termo de compromisso com cláusulas específicas de proteção de dados pessoais requeridas pelo TRE-SP, entre as quais o compromisso de que adota medidas técnicas e administrativas de segurança para a proteção dos dados pessoais segundo a legislação;

II - manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de fornecimento de prova eletrônica;

III - seguir as diretrizes e instruções transmitidas pelo TRE-SP;

IV - facultar acesso a dados pessoais somente para o pessoal autorizado, naquilo que for estritamente necessário, e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao Tribunal, mediante solicitação;

V - permitir a realização de auditorias, incluindo inspeções do TRE-SP, ou de auditor independente por ele autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

VI - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo Tribunal de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;

VII - comunicar formal e imediatamente ao TRE-SP a ocorrência de incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;

VIII - descartar de forma irrecuperável, ou devolver para o TRE-SP, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Art. 12.  A transferência internacional de dados somente poderá ser feita nas hipóteses do art. 33 da LGPD.

Art. 13.  É dever dos agentes e das agentes de tratamento cumprir as normas relativas à Política de Segurança da Informação (PSI) deste TRE-SP, observando as medidas de segurança, incluindo a proteção das senhas de acesso, bem como manter sob sigilo dados e informações de natureza confidencial obtidos no exercício de sua atividade ou, ainda, de natureza pessoal de outros servidores e servidoras que só a eles digam respeito.

Art. 14.  Os dados pessoais que se encontrarem em arquivos físicos (suporte em papel) ou arquivos físicos (suporte em papel) ou arquivos digitais deverão ser mantidos e preservados na mais rigorosa proteção contra vazamentos ou acessos indevidos.

Art. 15.  Os dados anonimizados não serão considerados dados pessoais para os fins desta Resolução.

SEÇÃO II

DO CICLO DE VIDA DOS DADOS PESSOAIS

Art. 16.  Os dados pessoais tratados pelo TRE-SP devem ser:

I - mantidos disponíveis, íntegros e confidenciais, nos termos da Política de Segurança da Informação (PSI) no âmbito do TRE-SP;

II - tratados somente quando diante de hipótese legal autorizativa; e

III - eliminados, quando cabível, aqueles que já não forem necessários por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

Art. 17.  O término do tratamento de dados pessoais ocorrerá quando a finalidade for alcançada, quando encerrado o período de tratamento ou se revogado o consentimento pelo titular ou pela titular dos dados, resguardado o interesse público.

Art. 18.  Após o término do tratamento, os dados pessoais serão eliminados, exceto quando remanescer o cumprimento de obrigação legal ou regulatória.

Parágrafo único.  A eliminação dos dados pessoais deve observar o procedimento estabelecido na Resolução TRE-SP nº 597/2022 referente aos instrumentos de gestão documental da Justiça Eleitoral paulista, incluindo a Tabela de Temporalidade de Documentos - TTD, ou normativo que venha a substituí-la.

CAPÍTULO V

DOS DIREITOS DO TITULAR E DA TITULAR

Art. 19.  São garantidos ao titular e à titular dos dados pessoais os direitos fundamentais à liberdade, à intimidade, à privacidade e à proteção da honra e da imagem.

Art. 20.  O TRE-SP deve tomar as providências necessárias para que o titular ou a titular do dado pessoal possa usufruir dos direitos assegurados pelos arts. 18 e 19 da LGPD.

Art. 21.  O titular e a titular têm direito ao acesso às informações sobre o tratamento de seus dados, que serão disponibilizadas de forma clara, adequada e ostensiva, para o atendimento do princípio do livre acesso.

Art. 22.  Deverá ser divulgada no portal do TRE-SP informação ostensiva, adequada e clara sobre a aplicação da LGPD, incluindo:

I - identificação do controlador, Encarregado ou Encarregada e suas respectivas informações de contato;

II - as hipóteses em que o TRE-SP realiza o tratamento de dados pessoais, contendo a previsão legal, a finalidade específica, a forma e duração de tratamento, os procedimentos e as práticas utilizadas para a execução desses tratamentos, bem como informações acerca do uso compartilhado de dados pelo controlador e a respectiva finalidade;

III - as responsabilidades dos agentes e das agentes que realizam o tratamento;

IV - os direitos dos titulares e das titulares, com menção explícita àqueles contidos no art. 18 da LGPD;

V - aviso de coleta de dados pessoais em navegação pela Internet (inclusive por meio de cookies), política de privacidade para navegação na página do TRE-SP e política geral de privacidade e proteção de dados pessoais;

VI - a disponibilização de formulário para o exercício do direito de solicitação de informações pessoais ou de reclamações pelo titular ou pela titular dos dados pessoais, bem como de orientações quanto ao procedimento para o seu encaminhamento.

Art. 23.  O titular e a titular dos dados pessoais têm direito a obter do TRE-SP, em relação aos seus dados tratados, em linguagem clara e simples, mediante requerimento, as seguintes informações:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com esta Resolução ou com o disposto na LGPD;

V - portabilidade dos dados, de acordo com a regulamentação da ANPD;

VI - eliminação dos dados pessoais tratados com fundamento em seu consentimento, exceto nas hipóteses necessárias de conservação para adimplemento a princípios e normas da atividade administrativa, caso em que deverá ser informado acerca do prazo para conservação de seus dados;

VII - informação das entidades públicas e privadas com as quais o Tribunal realizou uso compartilhado de dados.

§ 1º  Além dos direitos arrolados no caput, caso o tratamento seja baseado no consentimento, o titular e a titular dos dados devem ser expressamente informados sobre a possibilidade de não o fornecer, bem como sobre as consequências da negativa e sobre a possibilidade de revogação do consentimento a qualquer tempo, nos termos do § 5º do art. 8º da LGPD.

§ 2º  A formulação da requisição prevista nos arts. 18 e 19 da LGPD e a correspondente resposta serão feitas por meio seguro e idôneo, o qual, se viável tecnicamente, deverá conter funcionalidades de segurança que garantam a inequívoca identificação do(a) requisitante.

§ 3º  No caso de a coleta dos dados pessoais não haver sido realizada de forma direta pelo TRESP, deverá ser disponibilizada ao titular ou à titular dos dados, em caso de solicitação, informação acerca da origem primária dos dados.

§ 4º  A informação prevista nos incisos I e II do caput deverá ser prestada no prazo de 15 (quinze) dias, contados da data do protocolo do requerimento do titular ou da titular.

§ 5º  As informações previstas nos incisos III e seguintes do caput deverão ser prestadas no prazo de até 20 (vinte) dias, contados da data do protocolo do requerimento do(a) titular, prorrogável, justificadamente, por mais 10 (dez) dias.

CAPÍTULO VI

DA ESTRUTURA DA GESTÃO DE DADOS PESSOAIS E AGENTES DE TRATAMENTO DE DADOS PESSOAIS

SEÇÃO I

DA ESTRUTURA ADMINISTRATIVA

Art. 24.  O TRE-SP deverá manter estrutura administrativa interna para o atendimento das diretrizes estabelecidas na presente Resolução e para o tratamento de dados pessoais, compreendida, no mínimo, pelo Encarregado ou Encarregada e pelo Comitê Gestor de Proteção de Dados Pessoais (CGPD), bem como pelas unidades incumbidas de efetivar tratamento de dados pessoais e por aquelas incumbidas da segurança da informação.

Art. 25.  O TRE-SP deverá identificar as unidades administrativas (cartórios eleitorais, seções, coordenadorias, assessorias ou secretarias) que, pela natureza de suas funções, efetivem o tratamento de dados pessoais.

§ 1º  Às unidades mencionadas no caput incumbe:

I - efetivar o tratamento em consonância com as normas sobre a matéria e segundo as instruções fornecidas pelo TRE-SP ou pelo TSE;

II - providenciar o registro, em instrumento específico, das operações de tratamento de dados pessoais que efetivarem, com o respectivo fundamento;

III - prestar as informações necessárias ao desenvolvimento dos trabalhos do CGPD e ao desempenho das atribuições do Encarregado ou Encarregada;

IV - informar à Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), na forma e nos termos da PSI e da LGPD, acerca de incidentes de segurança que representem risco ou dano relevante aos titulares de dados pessoais de que tomem conhecimento; e

V - informar diretamente ao Encarregado ou Encarregada violações a esta Política que não estejam abrangidas pela hipótese do inciso IV.

§ 2º  Apenas usuários(as) credenciados(as) poderão realizar o tratamento de dados de acordo com os níveis de acesso estipulados pelo TRE-SP.

§ 3º Na hipótese do inciso IV, a ETIR, verificando que o incidente representa risco ou dano relevante aos titulares e às titulares de dados pessoais, deverá comunicar o fato ao Encarregado ou Encarregada.

SEÇÃO II

DO CONTROLADOR, DO OPERADOR E DA OPERADORA

Art. 26.  O TRE-SP é o controlador dos dados pessoais por ele tratados, nos termos de sua competência legal e regulamentar.

Parágrafo único.  O Juízo Eleitoral, embora tenha atribuições e competência para decidir a respeito do tratamento de dados pessoais, nas hipóteses assim definidas em leis e resoluções, não se equipara à figura do Controlador.

Art. 27.  Operador(es) e operadora(s) são as pessoas naturais ou jurídicas, de direito público ou privado, que realizam o tratamento de dados pessoais em nome e por ordem do controlador. Parágrafo único. São considerados operadores e operadoras, fornecedores, fornecedoras, prestadores e prestadoras de serviços que realizam o tratamento de dados pessoais em nome e por ordem do TRE-SP.

Art. 28.  O controlador, os operadores e as operadoras devem manter registro das operações de tratamento de dados pessoais que realizarem.

SEÇÃO III

DO ENCARREGADO OU ENCARREGADA PELO TRATAMENTO DE DADOS PESSOAIS

Art. 29.  O Encarregado ou Encarregada é a pessoa indicada pelo TRE-SP para atuar como canal de comunicação entre o controlador, os (as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Parágrafo único.  O Encarregado ou Encarregada será designado(a) por meio de ato específico.

Art. 30.  São atribuições do Encarregado ou Encarregada, em conformidade com o artigo 41 da LGPD:

I - receber reclamações e comunicações dos(as) titulares de dados pessoais, prestar esclarecimentos e adotar providências;

II - receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;

III - orientar as partes envolvidas no tratamento de dados pessoais a respeito das práticas a serem tomadas em relação à sua proteção;

IV - apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais;

V - realizar o intercâmbio de informações sobre a proteção de dados com outros órgãos;

VI - encaminhar, quando houver necessidade de providências por parte do Comitê Gestor de Proteção de Dados Pessoais (CGPD), demandas, proposições e orientações a seu exame;

VII - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 1º  O Encarregado ou Encarregada contará com o apoio efetivo do CGPD para o adequado desempenho de suas funções.

§ 2º  O Encarregado ou Encarregada deverá ter acesso direto à alta administração do Tribunal, para o adequado desempenho de suas funções.

SEÇÃO IV

DO COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS (CGPD)

Art. 31.  O Comitê Gestor de Proteção de Dados Pessoais (CGPD) é responsável pelo processo de implementação da LGPD no TRE-SP, competindo-lhe:

I - apresentar propostas de regulamentação da LGPD;

II - sugerir providências a serem adotadas com vistas à implementação da LGPD;

III - monitorar e avaliar o cumprimento da LGPD;

IV - prestar apoio técnico-jurídico com o auxílio da Seção de Proteção de Dados Pessoais (SEPDPS), se necessário, quando solicitado pelo Encarregado ou Encarregada;

V - propor diretrizes para o aprimoramento contínuo de mecanismos de proteção a dados pessoais no âmbito da Justiça Eleitoral paulista, inclusive nos campos do planejamento, da governança, administração de processos e procedimentos, elaboração de normas, rotinas operacionais, práticas organizacionais, desenvolvimento e gestão de sistemas de informação e relação com a imprensa;

VI - atuar colaborativamente, quanto à proteção de dados pessoais, junto às unidades responsáveis pela capacitação e pela conscientização.

Art. 32.  O CGPD terá caráter multidisciplinar e será composto pelos titulares e pelas titulares das Unidades que integram o Comitê Gestor da Estratégia - CoGEst e por um representante ou uma representante do Conselho de Representantes dos Cartórios Eleitorais (CRCE), indicado por ato específico.

§ 1º  Nas ausências e afastamentos dos membros e das membras do CGPD, atuarão como suplentes os substitutos ou substitutas que assumirem a titularidade da respectiva unidade.

§ 2º  O CGPD decidirá por maioria e suas propostas serão submetidas à Presidência para deliberação e adoção de eventuais providências;

§ 3º  Havendo conflito de interesses entre a unidade de origem de qualquer membro ou membra do CGPD e a deliberação a ser tomada, tal membro ou membra não participará da respectiva deliberação;

§ 4º  No desempenho de suas atribuições institucionais, o CGPD deverá observar as diretrizes da Política de Segurança da Informação (PSI) do TRE-SP.

CAPÍTULO VII

DOS REQUISITOS DE SEGURANÇA PARA O TRATAMENTO DE DADOS PESSOAIS

Art. 33.  O tratamento de dados pessoais deverá observar as normas expressas na Política de Segurança da Informação (PSI) do TSE e do TRE-SP e, ainda, os seguintes cuidados:

I - cada ativo de informação que envolva o tratamento de dados pessoais deverá ter tal característica destacada na ferramenta de inventário em que estiver arrolado, devendo constar, ainda, no relatório de impacto à proteção de dados pessoais;

II - o tratamento de informações produzidas ou custodiadas pelo TRE-SP que envolvam dados pessoais deverá ser objeto de registro (art. 37 da LGPD);

III - a necessidade de manutenção da guarda dos dados pessoais deverá estar fundamentada na tabela de temporalidade do TRE-SP; e

IV - diante de incidente de segurança que possa acarretar risco ou dano relevante a titular de dados pessoais, o Encarregado ou Encarregada pelo tratamento de dados pessoais do TRE-SP deverá comunicar, em prazo de até 72 (setenta e duas) horas úteis, à ANPD e ao titular ou à titular, nos termos do art. 48, § 1º, da LGPD.

§ 1º  O relatório de impacto a que se refere o inciso I do caput deverá observar as exigências contidas no art. 38, parágrafo único, da LGPD e ainda:

I - obedecer ao padrão mínimo estabelecido pelo Comitê Gestor de Proteção de Dados Pessoais do TSE (Resolução CNJ nº 363/2021), que será aprovado pela Direção-Geral do TSE e comunicado ao TRE-SP, observadas recomendações que advenham das autoridades competentes;

II - sofrer revisão bianual ou sempre que houver alteração relevante no tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos das pessoas que tenham dados tratados pelo TRE-SP; e

III - ser consolidado pelo TRE-SP e encaminhado ao CGPD do TSE para compilação e posterior envio à ANPD.

§ 2º  O registro de que trata o inciso II do caput deverá identificar a finalidade e a pessoa ou o processo responsável pela efetivação do tratamento de dado pessoal e estar acessível ao titular do dado nos termos do art. 19 da LGPD, bem como para eventual responsabilização, nos termos do art. 42 da mesma lei.

§ 3º  Nas atualizações e na aplicação da tabela de temporalidade do TRE-SP, o tempo de armazenamento dos dados pessoais deverá levar em consideração os direitos à eliminação, à privacidade e à autodeterminação informativa, cabendo a manutenção de dados que possam constranger seu titular ou sua titular apenas durante o período em que essas informações possam ter consequências no gozo de direitos.

§ 4º  A comunicação ao titular e à titular de dados pessoais a que se refere o inciso IV do caput deverá ser feita por meio seguro e idôneo, o qual deverá conter funcionalidades de segurança que garantam a inequívoca identificação do(a) titular.

CAPÍTULO VIII

DAS BOAS PRÁTICAS

Art. 34.  Os agentes e as agentes de tratamento seguirão regras de boas práticas pautadas nos princípios estipulados na LGPD e, também, no Código de Ética do TRE-SP.

Art. 35.  O TRE-SP, na qualidade de Controlador, poderá formular outras regras de boas práticas e de governança que estabeleçam as condições mínimas de organização das atividades do Tribunal para maior proteção de dados pessoais.

Art. 36.  As regras de boas práticas levarão em consideração a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes do tratamento de dados.

Art. 37.  As boas práticas adotadas para a proteção de dados pessoais e a governança implantada no âmbito do TRE-SP deverão ser objeto de campanhas informativas e educativas para disseminar a cultura protetiva, com conscientização e sensibilização dos interessados.

Art. 38.  O Programa Permanente de Capacitação e Desenvolvimento dos servidores e servidoras do TRE-SP contemplará ações periódicas para conscientização sobre a privacidade e a proteção de dados pessoais.

Art. 39.  Todo ato de posse em cargo efetivo deverá ser acompanhado da prestação de compromisso de observância das normas da LGPD.

Art. 40.  Serão empreendidas condutas pelos agentes e pelas agentes de tratamento que estabeleçam relação de confiança com o titular e a titular, por meio de atuação transparente, e que assegure mecanismos de participação do titular e da titular dos dados.

CAPÍTULO IX

DA RESPONSABILIZAÇÃO

Art. 41.  Eventual violação das normas previstas nesta Resolução e na LGPD serão apuradas mediante processo administrativo, observado o contraditório e a ampla defesa, podendo gerar a aplicação de sanções administrativas.

Art. 42.  A responsabilização administrativa não impede a aplicação de sanções civis, penais ou por improbidade administrativa definidas em legislação específica.

CAPÍTULO X

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 43.  O TRE-SP deverá reforçar e aprimorar constantemente esta Política, empreendendo estudos a fim de verificar a necessidade de sua revisão, no máximo a cada 3 (três) anos, atentando à evolução tecnológica e aos novos paradigmas de boas práticas ou, ainda, quando houver edição de ato ou alteração de leis ou regulamentos que interfiram em sua aplicação e, também, antes do referido prazo, quando houver necessidade em razão de ocorrências ou incidentes que assim o exigirem.

Art. 44.  Situações fáticas, procedimentais ou normativas que impactem no tratamento de dados pessoais, ainda que não previstas expressamente nesta Política, deverão observar os princípios e diretrizes aplicáveis para o tratamento de dados pessoais.

Art. 45.  A fim de estruturar dados pessoais para uso compartilhado, nos termos da LGPD, o TRE-SP, tal qual os demais órgãos públicos com os quais vier a firmar acordos de cooperação, deverão desenvolver e sustentar soluções capazes de garantir a interoperabilidade entre seus sistemas.

Art. 46.  Caso a ANPD, no exercício de suas competências legais, preveja prazos diversos dos estabelecidos nesta Resolução, prevalecerão aqueles definidos pela Autoridade.

Art. 47.  O TRE-SP deverá abordar as questões que permeiam a proteção de dados pessoais em seus planos estratégicos, bem como nos documentos e nas práticas deles decorrentes.

Art. 48.  A Política Geral de Privacidade e Proteção de Dados Pessoais e a Política de Segurança da Informação do TSE e do TRE-SP são complementares, devendo ser interpretadas em conjunto.

Art. 49.  Os casos omissos serão submetidos e resolvidos pela Presidência do TRE-SP, no âmbito de sua competência.

Art. 50.  Fica revogada a Portaria TRE-SP nº 65/2021.

Art. 51.  Esta Resolução entra em vigor na data de sua publicação.

São Paulo, aos trinta e um dias do mês de outubro de dois mil e vinte e três.

DESEMBARGADOR PAULO SÉRGIO BRANT DE CARVALHO GALIZIA

PRESIDENTE

DESEMBARGADOR SILMAR FERNANDES

VICE-PRESIDENTE E CORREGEDOR REGIONAL ELEITORAL

DESEMBARGADOR FEDERAL LUÍS PAULO COTRIM GUIMARÃES

JUÍZA DANYELLE DA SILVA GALVÃO

JUÍZA MARIA CLÁUDIA BEDOTTI

JUIZ REGIS DE CASTILHO BARBOSA FILHO