PORTARIA Nº 393, DE 7 DE ABRIL DE 2025

A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO AMAZONAS, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o disposto nos incisos X e XXXIII do art. 5º da Constituição Federal; na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); na Lei nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet; na Lei nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação (LAI); na Resolução CNJ nº 121, de 05 de outubro de 2010; na Resolução CNJ nº 215, de 16 de dezembro de 2015; e o disposto na  alínea "c" do inciso VI do art. 1º da Resolução CNJ nº 363, de 12 de janeiro de 2021; Resolução CNJ nº 370, de 28 de janeiro de 2021; na Resolução TSE n° 23.650, de 9 de setembro de 2021;

CONSIDERANDO a necessidade de garantir o direito à informação em equilíbrio com a proteção da privacidade, da intimidade, da honra e da imagem dos titulares de dados pessoais cadastrados nos bancos de dados do Tribunal Regional Eleitoral do Amazonas, bem como resguardar esses dados nos atos e processos administrativos e judiciais sob sua competência;

RESOLVE:

Art. 1º Aprovar a Política Geral de Privacidade e Proteção de Dados Pessoais, que tem como objetivo estabelecer diretrizes e normas para o tratamento de dados pessoais no âmbito do Tribunal Regional Eleitoral do Amazonas, na forma do anexo desta Portaria.

Art. 2º Revogar a Portaria Conjunta nº 452, de 22 de maio de 2024.

Art. 3º Esta Portaria entra em vigor na data de sua publicação.

Desembargadora CARLA MARIA SANTOS DOS REIS
Presidente do TRE/AM

ANEXO

POLÍTICA GERAL DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAI

CAPÍTULO I

DISPOSIÇÕES GERAIS

Seção I

Dos Objetivos e Aplicabilidade

Art. 1º Esta Política Geral de Privacidade e Proteção de Dados Pessoais estabelece diretrizes e normas para o tratamento de dados pessoais no âmbito do Tribunal Regional Eleitoral do Amazonas (TRE-AM), em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e demais normativos aplicáveis.

§ 1º Aplica-se esta Política a toda e qualquer operação de tratamento de dados pessoais realizada pelo TRE-AM, independentemente do meio utilizado (físico ou digital) e do local de armazenamento, incluindo ambientes de terceiros.

§ 2º Magistrados, servidores, colaboradores internos e externos, bem como qualquer pessoa que, direta ou indiretamente, realize tratamento de dados pessoais em nome do TRE-AM, devem cumprir as diretrizes, normas e procedimentos desta Política, garantindo a segurança e a integridade dos dados pessoais sob sua responsabilidade.

§ 3º Para os fins desta Política, consideram-se colaboradores os trabalhadores terceirizados, estagiários, residentes judiciais e demais pessoas que exerçam atividades no TRE-AM, de forma permanente, temporária ou excepcional, independentemente de vínculo empregatício ou contraprestação financeira.

Art. 2º Os termos e definições utilizados nesta Política seguem aqueles estabelecidos na LGPD, especialmente em seu art. 5º, podendo ser complementados por normativos internos do TRE-AM.

Seção II

Dos Princípios e Diretrizes para o Tratamento de Dados Pessoais

Art. 3º O tratamento de dados pessoais pelo TRE-AM deve ser pautado pelo dever de boa-fé e pela observância dos seguintes princípios:

I  - finalidade: o tratamento de dados pessoais deve ser realizado para fins legítimos, específicos e explícitos, não podendo ser utilizado para outras finalidades não informadas ao titular dos dados;

II   - adequação: o tratamento dos dados deve ser compatível com as finalidades informadas ao titular dos dados, garantindo que o uso dos dados esteja dentro do escopo autorizado;

III   - necessidade: devem ser tratados apenas os dados pessoais essenciais para cumprir as finalidades pretendidas, evitando a coleta de dados excessivos;

IV  - livre acesso: o titular dos dados pessoais deve ter acesso fácil e gratuito às informações sobre o tratamento de seus dados, podendo consultar as atualizações, correções e a finalidade do tratamento;

V  - qualidade dos dados: os dados pessoais tratados devem ser exatos, completos e atualizados, de modo a garantir a sua precisão e relevância para as finalidades a que se destinam;

VI  - transparência: as informações sobre o tratamento dos dados devem ser claras, acessíveis e facilmente compreendidas pelos titulares, garantindo a transparência das ações do TRE-AM;

VII  - segurança: devem ser adotadas medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, vazamentos ou incidentes de segurança;

VIII  - prevenção: devem ser implementadas medidas para evitar danos aos titulares, incluindo a antecipação de riscos no tratamento de dados;

IX   - não discriminação: os dados pessoais não podem ser utilizados para fins discriminatórios, ilícitos ou abusivos, respeitando os direitos fundamentais dos titulares; e

X   - responsabilização e prestação de contas: o TRE-AM deve demonstrar a adoção de medidas eficazes para garantir o cumprimento da LGPD e a proteção dos dados pessoais tratados, sendo responsável por todo o ciclo de vida dos dados sob seu controle.

Parágrafo único. Para assegurar o cumprimento desses princípios, o TRE-AM deverá promover a integração das suas políticas e procedimentos internos com as melhores práticas de governança e conformidade com a LGPD, conforme previsto nesta Política.

Art. 4º Para garantir a conformidade com as diretrizes da LGPD no tratamento de dados pessoais, deverão ser observadas as seguintes diretrizes no âmbito do TRE-AM:

I  - definir procedimentos que assegurem os princípios de segurança da informação no tratamento dos dados pessoais, garantindo sua proteção durante todo o ciclo de vida e fluxo de tratamento;

II    - padronizar o tratamento dos dados pessoais, adotando medidas de anonimização ou pseudonimização, sempre que necessário, para proteger a privacidade dos titulares;

III    - elaborar ou adequar as políticas de privacidade e os termos de uso, assegurando a transparência nas práticas de tratamento de dados;

IV  - adequar os normativos, formulários, sistemas e aplicativos informatizados à legislação vigente, em especial à LGPD;

V  - adequar o sítio eletrônico do TRE-AM para disponibilizar as informações exigidas pelos artigos 9º e 23, inciso I, da LGPD, garantindo que os titulares tenham fácil acesso a essas informações de forma clara e transparente;

VI    - adequar contratos, acordos de cooperação técnica, convênios ou atos similares para assegurar que os direitos dos titulares sejam respeitados;

VII  - promover a capacitação de magistrados e servidores, além de conscientizar o público interno e externo, acerca das boas práticas e da governança previstas nesta Política; e

VIII   - garantir a manutenção e a promoção dos registros de tratamento de dados pessoais, conforme o art. 37 da LGPD, e disponibilizar essas informações ao titular dos dados, sempre que solicitado, em conformidade com os artigos 18 da LGPD e 15 desta Política.

CAPÍTULO II

DO TRATAMENTO E CICLO DE VIDA DOS DADOS PESSOAIS

Seção I

Da Finalidade e das Hipóteses Legais de Tratamento

Art. 5º O tratamento de dados pessoais pelo TRE-AM deve ocorrer para o atendimento de sua finalidade pública e na persecução do interesse público, visando ao cumprimento de suas atribuições legais e normativas.

Art. 6º No exercício de suas atribuições, o TRE-AM poderá realizar o tratamento de dados pessoais sem o consentimento do titular dos dados, desde que observados os princípios da LGPD e fundamentado em pelo menos uma das hipóteses legais previstas nos artigos 7º, incisos II a X; 10, incisos I e II; 11, inciso II; 23, caput; 26 e 27 da referida lei.

§ 1º Caso o tratamento de dados pessoais não se enquadre em nenhuma das hipóteses mencionadas no caput, será necessária a obtenção do consentimento do titular dos dados, nos termos da LGPD.

§ 2º O tratamento de dados pessoais de crianças dependerá de consentimento específico e destacado de pelo menos um dos pais ou do responsável legal, conforme o art. 14, § 1º, da LGPD.

Seção II

Da Publicidade e Proteção de Dados nos Contratos

Art. 7º Os contratos, convênios e instrumentos congêneres firmados pelo TRE-AM deverão estar disponíveis para consulta pública nos termos da Lei nº 12.527/2011 (Lei de Acesso à Informação - LAI), assegurada a proteção dos dados pessoais que não sejam essenciais ao cumprimento da referida lei e ao interesse público, conforme disposto na LGPD, a fim de evitar a exposição indevida de informações pessoais desnecessárias à transparência.

Parágrafo único. Para garantir a publicidade dos documentos sem comprometer a privacidade dos titulares, as unidades responsáveis do TRE-AM deverão adotar medidas de proteção de dados pessoais, tais como:

I  - a adoção de técnicas de anonimização ou pseudonimização, sempre que possível, para garantir que os dados pessoais não possam ser associados direta ou indiretamente a um indivíduo;

II  - a aposição de tarjas sobre dados pessoais sensíveis ou a supressão parcial de informações que possam levar à identificação indevida de indivíduos, tais como números de documentos pessoais e endereços residenciais;

III  - a disponibilização de versões resumidas ou redigidas dos documentos originais, preservando apenas as informações essenciais à transparência e ao controle social;

IV    - a implementação de controles de acesso para limitar a visualização de determinadas informações a usuários autorizados, nos casos em que a divulgação irrestrita possa comprometer a privacidade ou a segurança dos titulares dos dados; e

V   - a revisão periódica das informações publicadas para avaliar a necessidade de atualização ou restrição do acesso a dados pessoais previamente divulgados.

Seção III

Da Requisição e Observância Contratual sobre Proteção de Dados

Art. 8º O TRE-AM pode requisitar informações sobre o adequado tratamento dos dados pessoais confiados a pessoas físicas ou jurídicas com as quais mantenha contratos, convênios ou instrumentos congêneres.

Parágrafo único. As pessoas físicas ou jurídicas mencionadas no caput deverão observar os regramentos estabelecidos nesta Política, bem como cumprir os deveres legais e contratuais aplicáveis, incluindo, mas não se limitando aos seguintes:

I  - firmar contrato ou termo de compromisso que contenha cláusulas específicas sobre proteção de dados pessoais, conforme os requisitos estabelecidos pelo TRE-AM;

II  - apresentar evidências e garantias suficientes de que adota um conjunto adequado de medidas técnicas e administrativas de segurança para a proteção dos dados pessoais, em conformidade com a legislação vigente, normas regulamentares do TRE-AM, padrões técnicos definidos pela Autoridade Nacional de Proteção de Dados (ANPD) e instrumentos contratuais aplicáveis;

III   - manter registros das operações de tratamento de dados pessoais realizadas, garantindo condições de rastreabilidade e possibilidade de fornecimento de prova eletrônica;

IV  - observar as diretrizes e instruções transmitidas pelo TRE-AM no que se refere à proteção e ao tratamento dos dados pessoais;

V    - restringir o acesso a dados pessoais apenas ao pessoal autorizado, naquilo que for estritamente necessário ao desempenho das funções, garantindo que tais indivíduos assumam compromisso formal de preservar a confidencialidade e a segurança dos dados, o qual deverá estar permanentemente disponível para exibição à Justiça Eleitoral, mediante solicitação;

VI   - permitir a realização de auditorias, incluindo inspeções conduzidas pelo TRE-AM ou por auditor independente por ele autorizado, bem como disponibilizar todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas;

VII  - cooperar com o TRE-AM no atendimento de obrigações perante titulares de dados pessoais, autoridades competentes ou demais legítimos interessados, sempre que estiver ao seu alcance;

VIII - comunicar formal e imediatamente ao TRE-AM qualquer incidente de segurança que possa comprometer ou causar dano, potencial ou efetivo, aos titulares de dados pessoais, evitando atrasos decorrentes de verificações ou inspeções internas; e

IX - proceder ao descarte seguro e irrecuperável, ou à devolução ao TRE-AM, de todos os dados pessoais e respectivas cópias, após a conclusão da finalidade para a qual foram tratados, o término do prazo de retenção ou a extinção do vínculo legal ou contratual.

Seção IV

Da Transferência Internacional de Dados

Art. 9º A transferência internacional de dados pessoais somente será permitida nas hipóteses previstas no art. 33 da LGPD, assegurando-se a observância dos requisitos e salvaguardas estabelecidos na legislação vigente.

Seção V

Do Ciclo de Vida e Gestão dos Dados Pessoais

Art. 10. Os dados pessoais tratados pelo TRE-AM devem ser:

I   - mantidos disponíveis, íntegros e confidenciais, em conformidade com a Resolução TSE nº 23.644/2021, do Tribunal Superior Eleitoral (TSE), que estabelece a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

II  - tratados apenas quando houver uma hipótese legal autorizativa; e

III   - eliminados quando for o caso, aqueles dados que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o prazo de retenção, conforme a tabela de temporalidade, observando as diretrizes de classificação, avaliação e destinação das informações e documentos do Tribunal.

Art. 11. O ciclo de vida dos dados pessoais, para fins desta Política, compreende as seguintes fases:

I  - coleta e recepção: engloba a coleta dos dados pessoais e sua recepção pelo TRE-AM, sendo a primeira fase do processo de tratamento. A coleta pode ocorrer por meio de formulários, registros, sistemas ou outras fontes que envolvam a obtenção de dados pessoais, sempre em conformidade com a finalidade estabelecida;

II  - classificação e armazenamento: refere-se à organização, classificação e armazenamento dos dados pessoais, garantindo sua guarda de maneira segura e adequada. Os dados devem ser classificados conforme sua sensibilidade, com especial proteção para dados sensíveis, que exigem maior nível de segurança;

III    - processamento e utilização: inclui todas as atividades de processamento, utilização, modificação e análise dos dados pessoais para os fins específicos para os quais foram autorizados. Todas as operações devem ser rastreáveis, permitindo o controle e a verificação da conformidade com os princípios da LGPD;

IV    - acesso e comunicação: diz respeito ao acesso autorizado aos dados pessoais e à comunicação entre os envolvidos. Apenas pessoas ou entidades com necessidade legítima de acesso devem ter permissão para visualizar ou processar os dados. O acesso deve ser controlado e monitorado, garantindo a confidencialidade;

V  - compartilhamento e transferência: envolve a transmissão, distribuição, transferência ou difusão de dados, com base em hipóteses legais ou no consentimento do titular dos dados. O compartilhamento deve ser realizado com base em contratos que garantam a proteção dos dados, especialmente quando houver transferência para outros países;

VI  - avaliação e controle: inclui a avaliação contínua da qualidade, pertinência e necessidade dos dados, assim como o controle sobre o cumprimento das diretrizes de segurança e privacidade. Devem ser realizadas auditorias periódicas e análises de impacto à privacidade, a fim de garantir a conformidade com as normativas internas e externas; e

VII   - eliminação: quando os dados atingem o fim de sua utilidade ou o prazo de retenção, eles devem ser eliminados de forma segura e irrecuperável, utilizando técnicas adequadas de destruição ou anonimização, conforme os requisitos da LGPD e a tabela de temporalidade.

Parágrafo único. O TRE-AM deverá garantir que todas as fases do ciclo de vida dos dados pessoais sejam executadas em conformidade com os princípios da LGPD, com supervisão da ANPD, a fim de assegurar o cumprimento das obrigações legais relacionadas à segurança, transparência e proteção dos direitos dos titulares. A avaliação e gestão contínua do ciclo de vida dos dados deve ser realizada por meio de auditorias internas regulares, conforme as diretrizes do TRE-AM, garantindo que todas as práticas de tratamento de dados estejam em conformidade com as normas estabelecidas.

CAPÍTULO III

DOS DIREITOS DO TITULAR DOS DADOS PESSOAIS

Seção I

Do Exercício dos Direitos do Titular dos Dados

Art. 12. O TRE-AM deve adotar as medidas necessárias para assegurar que o titular dos dados pessoais possa exercer os direitos previstos nos artigos 18 e 19 da LGPD, incluindo, quando necessário, a orientação sobre o processo de solicitação desses direitos.

Seção II

Da Divulgação das Informações

Art. 13. O TRE-AM deve divulgar, de forma clara, acessível e destacada em seu sítio eletrônico, as informações relacionadas à aplicação da LGPD, incluindo:

I  - identificação do controlador e do encarregado e suas respectivas informações de contato;

II  - as hipóteses em que a instituição realiza o tratamento de dados pessoais, contendo a previsão legal, a finalidade específica, a forma e duração do tratamento, os procedimentos e as práticas utilizadas para a execução desses tratamentos, bem como informações acerca do uso compartilhado de dados pelo controlador e a respectiva finalidade;

III - as responsabilidades dos agentes que realizam o tratamento;

IV  - os direitos dos titulares, com menção explícita àqueles contidos no art. 18 da LGPD;

V  - aviso de coleta de dados pessoais durante a navegação na Internet (incluindo cookies), política de privacidade para navegação no sítio eletrônico do TRE-AM, e a Política Geral de Privacidade e Proteção de Dados Pessoais, incluindo informações sobre como o titular dos dados pode gerenciar suas preferências de cookies e consentimento; e

VI  - disponibilização de formulário eletrônico ou outro meio eficiente para o exercício do direito de solicitação de informações pessoais ou para apresentação de reclamações pelo titular dos dados, com instruções claras sobre o procedimento a ser seguido para encaminhamento da solicitação.

Seção III

Do Tratamento de Dados de Crianças e Adolescentes

Art. 14. As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Seção IV

Dos Direitos do Titular dos Dados e Atendimento a Solicitações

Art. 15. O titular dos dados pessoais tem o direito de solicitar, ao controlador, as seguintes informações sobre seus dados tratados, em linguagem clara e simples:

I  - confirmação da existência de tratamento;

II  - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV   - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com esta Resolução ou com o disposto na LGPD;

V  - portabilidade dos dados, de acordo com a regulamentação da ANPD;

VI  - eliminação dos dados pessoais tratados com fundamento em seu consentimento, exceto nas hipóteses necessárias de conservação para adimplemento a princípios e normas da atividade administrativa, caso em que deverá ser informado acerca do prazo da conservação de seus dados; e

VII   - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.

§ 1º Caso o tratamento de dados pessoais seja baseado no consentimento, o titular dos dados deve ser claramente informado sobre a possibilidade de não fornecê-lo, as consequências da negativa e a possibilidade de revogação do consentimento a qualquer tempo, conforme o § 5º do art. 8º da LGPD, sendo assegurado o exercício desse direito de forma simples e sem ônus.

§ 2º A requisição prevista nos artigos 18 e 19 da LGPD, bem como a resposta correspondente, deverão ser realizadas por meio seguro, que garanta a identificação inequívoca do solicitante, utilizando-se de medidas de autenticação eficazes, como assinatura digital ou outra forma de verificação.

§ 3º Caso os dados pessoais não tenham sido coletados diretamente pelo TRE-AM, a origem primária dos dados deverá ser informada ao titular dos dados, em caso de solicitação, com a devida clareza sobre como e por quem esses dados foram coletados.

§ 4º O TRE-AM divulgará, em seu sítio eletrônico, o canal de comunicação destinado ao atendimento de solicitações ou dúvidas dos titulares de dados pessoais, garantindo que todas as solicitações serão atendidas de maneira ágil e eficiente, conforme procedimentos internos organizacionais, nos seguintes prazos:

I  - as informações previstas nos incisos I e II do caput deverão ser fornecidas no prazo de até 15 (quinze) dias, contados a partir do protocolo do requerimento do titular dos dados, com possibilidade de prorrogação em casos excepcionais devidamente justificados; e

II  - as informações previstas nos incisos III e seguintes do caput deverão ser fornecidas no prazo de até 20 (vinte) dias, contados a partir do protocolo do requerimento do titular dos dados, prorrogável, de forma justificada, por mais 10 (dez) dias.

§ 5º O titular dos dados será notificado sobre a prorrogação e o motivo do atraso de sua solicitação.

CAPÍTULO IV

DA SEGURANÇA E GESTÃO DO TRATAMENTO DE DADOS PESSOAIS

Art. 16. O tratamento de dados pessoais deverá observar as diretrizes estabelecidas na Política de Segurança da Informação (PSI) do TSE e do TRE-AM, bem como adotar as seguintes medidas:

I  - o tratamento de dados pessoais contidos em informações produzidas ou custodiadas pelo TRE- AM deverá ser registrado de acordo com o disposto no art. 37 da LGPD;

II  - os ativos de informação que envolvam o tratamento de dados pessoais devem ser devidamente identificados na ferramenta de inventário utilizada, sendo incluídos no relatório de impacto à proteção de dados pessoais quando aplicável;

III   - a manutenção da guarda dos dados pessoais deve estar fundamentada na tabela de temporalidade vigente no TRE-AM, respeitando os prazos estabelecidos para a retenção e eliminação dos dados;

IV   - em caso de incidente de segurança que possa representar risco ou dano relevante aos titulares dos dados pessoais, o controlador deverá comunicar à ANPD e aos titulares dos dados no prazo de até 3 (três) dias úteis, conforme o art. 48, § 1º, da LGPD e o art. 6º da Resolução nº 15/2024 da ANPD, ressalvado o prazo distinto estabelecido em legislação específica;

V  - os agentes de tratamento deverão adotar medidas técnicas e administrativas adequadas para garantir a segurança, a integridade e a confidencialidade dos dados pessoais, prevenindo acessos não autorizados, vazamentos e demais incidentes de segurança, conforme o art. 46 da LGPD; e

VI    - o compartilhamento de dados pessoais com terceiros deverá observar critérios de necessidade, finalidade e adequação, garantindo que o destinatário cumpra os mesmos requisitos de segurança e privacidade estabelecidos pelo TRE-AM, conforme o art. 50 da LGPD.

§ 1º O registro de que trata o inciso I do caput deverá:

I   - identificar a finalidade do tratamento de dados pessoais, bem como a pessoa ou processo responsável por sua execução; e

II  - estar acessível ao titular dos dados, nos termos do art. 19 da LGPD, bem como para fins de eventual verificação de conformidade e apuração de eventuais danos, nos termos do art. 42 da mesma lei.

§ 2º O relatório de impacto referido no inciso II do caput deverá observar as exigências contidas no art. 38, parágrafo único, da LGPD e, adicionalmente:

I  - obedecer ao padrão mínimo estabelecido pelo Comitê Gestor de Proteção de Dados Pessoais do TSE (CGPD/TSE) e comunicado ao TRE-AM, nos termos do art. 15, § 1º, inciso I, da Resolução TSE nº 23.650/2021;

II  - passar por revisão bienal ou sempre que houver alteração relevante no tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos dos titulares dos dados tratados pelo TRE-AM; e

III   - ser consolidado pelo TRE-AM e encaminhado ao CGPD/TSE para compilação e posterior envio à ANPD.

§ 3º Na atualização e aplicação da tabela de temporalidade de dados pessoais, o tempo de armazenamento deverá considerar os direitos à eliminação, à privacidade e à autodeterminação informativa do titular. A manutenção dos dados deverá ser justificada apenas enquanto houver implicações para os direitos do titular.

§ 4º A comunicação ao titular dos dados pessoais prevista no inciso IV do caput deverá ser realizada de forma segura, utilizando-se tecnologias idôneas que garantam sua identificação inequívoca, assegurando a confidencialidade e a integridade da informação.

CAPÍTULO V

DA ESTRUTURA DE GESTÃO DE DADOS PESSOAIS

Seção I

Da Estrutura de Gestão de Dados Pessoais

Art. 17. O TRE-AM deverá manter uma estrutura administrativa e técnica voltada à gestão do tratamento de dados pessoais, garantindo o cumprimento das diretrizes desta Política, composta, no mínimo, pelos seguintes elementos:

I  - Unidades de Tratamento de Dados Pessoais;

II  - Agentes de Tratamento de Dados Pessoais, responsáveis pela gestão e operação dos dados, a saber:

a)  Controlador de Dados Pessoais;

b)  Operador de Dados Pessoais.

III - Encarregado pelo Tratamento de Dados Pessoais;

IV  - Comitê Multissetorial de Apoio à Governança - CMAG;

V  - Unidades de Apoio a Gestão de Dados Pessoais, incluindo:

a)  Núcleo de Segurança da Informação e Privacidade - NSIP;

b)   Seção de Segurança de Tecnologia - SESET.

Seção II

Das Unidades de Tratamento de Dados Pessoais

Art. 18. Deverão ser identificadas as unidades administrativas do TRE-AM (cartórios eleitorais, seções, coordenadorias ou secretarias) que, pela natureza de suas funções, efetivem o tratamento de dados pessoais.

§ 1º Às unidades mencionadas no caput incumbe:

I   - providenciar registro (art. 37 da LGPD) das operações de tratamento de dados pessoais que efetivarem;

II  - efetivar o tratamento em consonância com as normas sobre a matéria e segundo as instruções fornecidas pelo TSE e pelo TRE-AM;

III  - prestar as informações necessárias ao desenvolvimento dos trabalhos do Comitê Multissetorial de Apoio à Governança (CMAG) e ao desempenho das atribuições do Encarregado pelo Tratamento de Dados Pessoais;

IV  - informar à Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), na forma e nos termos da PSI e da LGPD, acerca de incidentes de segurança que representem risco ou dano relevante aos titulares de dados pessoais de que tomem conhecimento; e

V   - informar diretamente ao Encarregado pelo Tratamento de Dados Pessoais violações a esta Política que não estejam abrangidas pela hipótese do inciso IV.

§ 2º Apenas usuários credenciados poderão realizar tratamento de dados, o que será feito de acordo com níveis de acesso estipulados pela Justiça Eleitoral.

§ 3º Na hipótese do inciso IV, a ETIR, verificando que o incidente representa risco ou dano relevante aos titulares de dados pessoais, deverá comunicar o fato ao Encarregado pelo Tratamento de Dados Pessoais.

Seção III

Dos Agentes de Tratamento de Dados Pessoais

Subseção I

Do Controlador de Dados Pessoais

Art. 19. O TRE-AM é o controlador dos dados pessoais por ele tratados, competindo-lhe as decisões relativas ao seu tratamento, nos termos de sua competência legal e regulamentar.

§ 1º O(A) Presidente do TRE-AM, como autoridade máxima e representante do controlador de dados, é responsável por decisões estratégicas sobre o tratamento de dados pessoais no âmbito do Tribunal, em conformidade com a LGPD e as diretrizes da ANPD, auxiliado pelos demais membros da Alta Administração.

§ 2º O(A) Juízo(a) Eleitoral, embora possua atribuições e competência para decidir sobre o tratamento de dados pessoais nas hipóteses previstas em leis e resoluções, não se equipara à figura do controlador, salvo quando atuar por delegação do TRE-AM ou em situações expressamente previstas em norma.

§ 3º O TRE-AM, quando realiza o tratamento de dados pessoais por determinação de outro órgão do Poder Judiciário, mantém sua posição de controlador independente, sendo responsável pelas decisões referentes ao tratamento dos dados sob sua guarda.

Subseção II

Do Controlador Conjunto de Dados Pessoais

Art. 20. O TRE-AM será considerado controlador conjunto quando, por força de lei, convênio ou contrato, determinar, em conjunto com outra pessoa natural ou jurídica, de direito público ou privado, as finalidades e os elementos essenciais dos meios de tratamento de dados pessoais.

Parágrafo único. Não será considerado controlador conjunto, mas sim controlador independente, aquele que, embora trate os mesmos dados pessoais, o faça de forma autônoma e para finalidades distintas, sem decisão compartilhada sobre as finalidades e elementos essenciais dos meios de tratamento.

Subseção III

Do Operador de Dados Pessoais

Art. 21. O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

Parágrafo único. São considerados operadores os fornecedores, prestadores de serviços e eventuais colaboradores internos que realizam o tratamento de dados pessoais exclusivamente em nome e conforme as instruções do Controlador, sem autonomia na definição das finalidades e dos meios do tratamento.

Seção IV

Do Encarregado pelo Tratamento de Dados Pessoais

Art. 22. O Encarregado pelo Tratamento de Dados Pessoais é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD, sendo também responsável pela orientação e pelo monitoramento do cumprimento da LGPD.

§ 1º A indicação do Encarregado pelo Tratamento de Dados Pessoais será formalizada por ato do (a) Presidente do TRE-AM, no qual deverão constar as formas de atuação, as atividades a serem desempenhadas e a designação do substituto.

§ 2º A designação do substituto ocorrerá simultaneamente à indicação do Encarregado pelo Tratamento de Dados Pessoais, e este o substituirá em suas ausências, impedimentos ou eventual vacância.

§ 3º Compete ao Encarregado pelo Tratamento de Dados Pessoais:

I    - receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II  - receber comunicações da ANPD e adotar providências;

III  - orientar as partes envolvidas no tratamento de dados pessoais a respeito das práticas a serem tomadas em relação à sua proteção;

IV   - encaminhar, quando houver necessidade de providências por parte do CMAG, demandas, proposições e orientações a seu exame; e

V   - executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

§ 4º O Encarregado pelo Tratamento de Dados Pessoais terá acesso direto à Alta Administração do Tribunal e contará com o apoio efetivo do CMAG, visando garantir o adequado desempenho de suas funções.

Seção V

Do Comitê Multissetorial de Apoio à Governança

Art. 23. O Comitê Multissetorial de Apoio à Governança (CMAG), unidade multidisciplinar integrante da estrutura de governança do TRE-AM, é o responsável pelo processo de implementação da LGPD no âmbito do TRE-AM, competindo-lhe:

I  - apresentar propostas de regulamentação da LGPD;

II   - sugerir providências a serem adotadas para a implementação da LGPD, desenvolvendo e coordenando planos, projetos e iniciativas para adequação do tratamento de dados pessoais no âmbito do TRE-AM;

III   - monitorar e avaliar o cumprimento da LGPD, incluindo a análise dos mecanismos de tratamento de dados pessoais existentes e a proposição de ações para adequação;

IV    - propor diretrizes para o aprimoramento contínuo de mecanismos de proteção a dados pessoais no âmbito da Justiça Eleitoral, inclusive nos campos do planejamento, da governança, administração de processos e procedimentos, elaboração de normas, rotinas operacionais, práticas organizacionais, desenvolvimento e gestão de sistemas de informação e comunicação institucional relacionada à proteção de dados;

V  - atuar colaborativamente, quanto à proteção de dados pessoais, junto às unidades responsáveis pela capacitação e conscientização, promovendo ações de educação, treinamento e sensibilização sobre privacidade e proteção de dados;

VI   - coordenar a realização do relatório de impacto de tratamento de dados pessoais, quando requerido pela ANPD;

VII    - avaliar e aprovar cláusulas padrão e/ou termos de confidencialidade para contratos e convênios que envolvam tratamento de dados pessoais;

VIII  - prestar apoio técnico-jurídico quando solicitado pelo Encarregado; e

IX  - elaborar e coordenar o plano de comunicação e divulgação sobre a LGPD.

§ 1º O CMAG poderá convidar o Encarregado pelo Tratamento de Dados Pessoais para tomar assento, sem direito de voto, em reuniões que tratem de assuntos relacionados à privacidade e à proteção de dados.

§ 2º No desempenho de suas atribuições referentes à LGPD, o CMAG deverá observar as diretrizes e competências definidas nesta Política e na Política de Segurança da Informação (PSI) do TRE-AM.

§ 3º Nas demais competências que não se relacionam diretamente à LGPD, bem como em sua estrutura, funcionamento e deliberações, o CMAG deverá observar as disposições constantes em seu regulamento próprio.

Seção VI

Das Unidades de Apoio a Gestão de Dados Pessoais

Subseção I

Do Núcleo de Segurança da Informação e Privacidade

Art. 24. Ao Núcleo de Segurança da Informação e Privacidade (NSIP), unidade administrativa de segurança da informação e privacidade da estrutura organizacional do TRE-AM, compete, considerando suas competências regulamentares, apoiar e assessorar o Comitê Multissetorial de Apoio à Governança (CMAG) e o Encarregado pelo Tratamento de Dados Pessoais em suas atribuições relacionadas à privacidade e proteção de dados pessoais, além de:

I    - propor regulamentos relacionados à privacidade e proteção de dados pessoais, em conformidade com as orientações da LGPD, as normas da ANPD, do CNJ, do TSE e com as boas práticas estabelecidas na área;

II  - gerenciar a governança dos processos de tratamento de dados pessoais realizados pelo TRE- AM, garantindo que as práticas adotadas estejam em conformidade com a LGPD e outras regulamentações aplicáveis, e fornecer subsídios ao CMAG, incluindo a análise de riscos e a proposição de melhorias contínuas nos processos de tratamento;

III  - coordenar a identificação das unidades administrativas do TRE-AM que, em razão de suas atribuições, realizam o tratamento de dados pessoais, bem como consolidar os registros das operações de tratamento efetuadas por essas unidades, nos termos do art. 37 da LGPD; e

IV    - manter no sítio eletrônico do TRE-AM informações sobre as políticas, os requisitos e fundamentos para o tratamento de dados pessoais, os direitos do titular e as obrigações do controlador/operador, bem como disponibilizar formulário para exercício de direitos e registro de solicitações ou reclamações.

Subseção II

Da Seção de Segurança de Tecnologia

Art. 25. À Seção de Segurança de Tecnologia (SESET), unidade técnica de cibersegurança da estrutura organizacional do TRE-AM, compete, considerando suas competências regulamentares, apoiar e assessorar o Comitê Multissetorial de Apoio à Governança (CMAG) e o Encarregado pelo Tratamento de Dados Pessoais em suas atribuições relacionadas à privacidade e proteção de dados pessoais, além de:

I  - identificar vulnerabilidades, executar inspeções exaustivas de segurança e monitorar eventos de cibersegurança relacionados ao tratamento e à proteção de dados pessoais no âmbito do Tribunal;

II - reportar achados relativos à segurança cibernética que possam impactar a privacidade e a proteção de dados pessoais, atuando na resposta a incidentes e coordenando ações de mitigação, recuperação e remediação em casos de vazamento ou exposição indevida;

III - acompanhar a execução e propor projetos, regulamentações e normativos internos que impactem a infraestrutura e os sistemas de informação para assegurar a conformidade com as diretrizes de segurança e proteção de dados pessoais; e

IV - apoiar auditorias internas e realizar análises de risco voltadas à segurança dos dados pessoais, promovendo ações preventivas e corretivas.

CAPÍTULO VI

DAS BOAS PRÁTICAS PARA O TRATAMENTO DE DADOS PESSOAIS

Art. 26. O tratamento de dados pessoais no TRE-AM deverá observar as boas práticas e os padrões de governança estabelecidos nesta Política, na Política de Segurança da Informação (PSI) e em normativas correlatas, assegurando a proteção dos direitos dos titulares e a conformidade com a legislação vigente.

Art. 27. As unidades do TRE-AM que realizarem tratamento de dados pessoais deverão adotar as seguintes boas práticas:

I  - transparência e minimização de dados:

a)   coletar apenas os dados pessoais adequados, pertinentes e limitados às finalidades específicas e legais do tratamento;

b)     informar proativamente, de forma clara e acessível aos titulares, sobre a finalidade do tratamento, o prazo de retenção e eventuais compartilhamentos de seus dados;

c)   garantir que os registros de tratamento de dados sejam mantidos atualizados e devidamente documentados.

II  - segurança e controle de acesso:

a)     restringir o acesso aos dados pessoais apenas a usuários devidamente autorizados e credenciados, conforme os níveis de permissão definidos pelo TRE-AM;

b)   adotar medidas técnicas e organizacionais adequadas para prevenir acessos não autorizados, vazamentos, alterações indevidas ou perdas de dados pessoais;

c)   utilizar protocolos de segurança modernos e criptografia na comunicação e no armazenamento de dados, garantindo a integridade e a confidencialidade dos dados.

III - responsabilidade e prestação de contas:

a)   implementar mecanismos internos de auditoria e controle para garantir a conformidade com a LGPD e outras normativas aplicáveis;

b)    garantir que todos os agentes de tratamento estejam cientes de suas responsabilidades no manejo de dados pessoais e que recebam treinamento regular sobre privacidade e segurança dos dados;

c)   manter registros de incidentes relacionados à proteção de dados, bem como documentar as medidas adotadas para sua mitigação e resolução.

IV  - compartilhamento e transferência de dados:

a)   garantir que qualquer compartilhamento de dados pessoais com terceiros ocorra apenas quando estritamente necessário e mediante cláusulas contratuais que assegurem a proteção adequada;

b)     avaliar periodicamente os requisitos de segurança e privacidade das partes envolvidas, especialmente no caso de transferências internacionais de dados pessoais;

c)  assegurar que as informações compartilhadas sejam limitadas àquelas estritamente necessárias para o cumprimento da finalidade do tratamento.

V  - resposta a incidentes e atendimento aos titulares:

a)   estabelecer fluxos internos para resposta a incidentes de segurança, garantindo a comunicação tempestiva à ANPD e aos titulares, nos casos exigidos por lei;

b)   disponibilizar diversos canais de comunicação acessíveis, como atendimento telefônico, e-mail e formulários online, para que os titulares possam exercer seus direitos previstos na LGPD, como acesso, correção, exclusão e portabilidade de dados;

c)    manter comunicação clara e tempestiva com os titulares de dados em caso de alterações significativas nas práticas de tratamento ou no uso de suas informações pessoais.

Art. 28. O TRE-AM promoverá ações contínuas de capacitação e conscientização para servidores, colaboradores e demais agentes de tratamento, a fim de consolidar uma cultura organizacional voltada à proteção de dados pessoais e à conformidade com a legislação vigente.

Art. 29. As boas práticas descritas neste Capítulo deverão ser acompanhadas e supervisionadas pela Alta Administração do TRE-AM, com o apoio do Comitê Multissetorial de Apoio à Governança (CMAG), do Núcleo de Segurança da Informação e Privacidade (NSIP) e da Seção de Segurança de Tecnologia (SESET), garantindo sua efetiva implementação e compliance.

CAPÍTULO VII

DA CAPACITAÇÃO E CONSCIENTIZAÇÃO SOBRE PROTEÇÃO DE DADOS PESSOAIS

Art. 30. O TRE-AM organizará programa de capacitação e conscientização sobre a proteção de dados pessoais, destinado a magistrados, servidores, trabalhadores terceirizados, estagiários e residentes judiciais das áreas administrativas e judiciais de primeira e segunda instâncias.

§ 1º Os programas de capacitação serão obrigatórios para todos os envolvidos no tratamento de dados pessoais e abordarão, no mínimo, os seguintes temas: princípios da proteção de dados pessoais, bases legais e regras para o tratamento de dados, direitos dos titulares, procedimentos para atendimento das requisições, medidas de segurança da informação e protocolos a serem adotados em caso de incidentes de segurança.

§ 2º As capacitações serão periódicas e atualizadas conforme mudanças legislativas, normativas ou necessidades operacionais identificadas.

§ 3º A eficácia dos programas será monitorada por meio de avaliação contínua, incluindo testes, feedbacks e acompanhamentos.

Art. 31. O TRE-AM fornecerá materiais didáticos e recursos online acessíveis e regularmente atualizados para apoiar a capacitação de todos os envolvidos no tratamento de dados pessoais.

Art. 32. Para promover a conscientização sobre a proteção de dados pessoais, o TRE-AM adotará diversas estratégias de comunicação, incluindo campanhas periódicas (e-mails, cartazes, comunicados), webinars, palestras, divulgação de boas práticas e estabelecimento de um canal de feedback para sugestões e relatos sobre a implementação da Política Geral de Privacidade e Proteção de Dados Pessoais.

Parágrafo único. A eficácia das estratégias de comunicação será periodicamente avaliada, com ajustes conforme necessário, considerando atualizações normativas e legislativas sobre proteção de dados pessoais.

Art. 33. A Alta Administração apoiará ativamente as iniciativas de conscientização sobre proteção de dados pessoais, garantindo visibilidade às ações adotadas para esse fim.

CAPÍTULO VIII

DA RESPONSABILIZAÇÃO NO TRATAMENTO DE DADOS PESSOAIS

Art. 34. O descumprimento das disposições desta Política sujeita os agentes de tratamento às sanções administrativas previstas nos artigos 42 a 45 da LGPD, sem prejuízo das responsabilidades civis, penais e administrativas cabíveis.

Art. 35. A aplicação de sanções observará os princípios da razoabilidade, proporcionalidade e do devido processo legal, assegurando ampla defesa e contraditório.

Art. 36. A responsabilização pelo tratamento de dados pessoais será regida por normativo próprio, que será elaborado em conformidade com a LGPD e com as diretrizes estabelecidas pela Autoridade Nacional de Proteção de Dados (ANPD).

CAPÍTULO IX

DA AUDITORIA E MONITORAMENTO DE CONFORMIDADE

Art. 37. O TRE-AM estabelecerá processos regulares de auditoria e monitoramento para garantir a conformidade com esta Política Geral de Privacidade e Proteção de Dados Pessoais, bem como com as diretrizes estabelecidas pela LGPD.

§ 1º As auditorias incluirão a revisão de documentos e registros relacionados ao tratamento de dados pessoais, entrevistas e inspeções das práticas de segurança da informação.

§ 2º O TRE-AM manterá monitoramento contínuo das atividades de tratamento de dados pessoais, incluindo a análise de incidentes de segurança, relatórios de violação e outras evidências de não conformidade.

§ 3º As auditorias serão realizadas periodicamente, com resultados apresentados à Alta Administração, juntamente com recomendações para ajustes e melhorias nos processos.

§ 4º Os resultados das auditorias serão compartilhados com a Autoridade Nacional de Proteção de Dados (ANPD) quando necessário, para garantir a transparência e conformidade com as normas regulatórias.

CAPÍTULO X

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 38. O TRE-AM deverá revisar e aprimorar periodicamente esta Política, realizando estudos para avaliar e, se necessário, atualizar seu conteúdo, no mínimo a cada 3 (três) anos, considerando a evolução tecnológica e as melhores práticas em proteção de dados.

Art. 39. As medidas de governança e boas práticas adotadas para a proteção de dados pessoais deverão ser amplamente divulgadas por meio de campanhas informativas, com o objetivo de fortalecer a cultura de proteção de dados e conscientizar os envolvidos sobre a importância da segurança da informação.

Art. 40. Situações fáticas, procedimentais ou normativas que impactem no tratamento de dados pessoais, ainda que não previstas expressamente nesta Política, deverão seguir os princípios e diretrizes aplicáveis ao tratamento de dados pessoais.

Art. 41. Para possibilitar o uso compartilhado de dados pessoais conforme os termos da LGPD, o TRE-AM e os órgãos públicos com os quais firmar acordos de cooperação deverão garantir a interoperabilidade entre seus sistemas.

Art. 42. O TRE-AM incentivará a participação em grupos e iniciativas interinstitucionais voltadas à aplicação da LGPD, promovendo o intercâmbio de boas práticas, o desenvolvimento de ações colaborativas e a melhoria contínua da segurança da informação e do tratamento de dados pessoais.

Parágrafo único. A representação do Tribunal nessas iniciativas será preferencialmente exercida pelo Encarregado pelo Tratamento de Dados Pessoais, seu substituto ou outro(a) servidor(a) que atue na estrutura de gestão de dados pessoais do Tribunal.

Art. 43. Caso a ANPD, no exercício de suas competências legais, preveja prazos diversos dos estabelecidos nesta Política, prevalecerão aqueles definidos pela Autoridade.

Art. 44. O TRE-AM deverá incorporar as diretrizes de proteção de dados pessoais em seus planos estratégicos institucionais e nas práticas deles decorrentes.

Art. 45. O tratamento de dados pessoais no âmbito do TRE-AM observará os preceitos estabelecidos na Política de Gestão de Riscos do Tribunal, garantindo a identificação, a avaliação e a mitigação de riscos relacionados à privacidade e à proteção de dados pessoais.

Art. 46. A Política Geral de Privacidade e Proteção de Dados Pessoais e a Política de Segurança da Informação do TRE-AM são complementares, devendo ser interpretadas em conjunto.

Art. 47. Os casos omissos serão resolvidos pela Presidência do Tribunal Regional Eleitoral do Amazonas.

DESEMBARGADORA CARLA MARIA SANTOS DOS REIS
DESEMBARGADORA PRESIDENTE DO TRE-AM