Voltar

RESOLUÇÃO STF Nº 759, DE 17.12.2021

Institui a Política de Privacidade e de Proteção de Dados Pessoais no âmbito do Supremo Tribunal Federal.

O PRESIDENTE DO SUPREMO TRIBUNAL FEDERAL, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o objetivo do Supremo Tribunal Federal (STF) de se tornar uma Corte Constitucional Digital, alinhada com a crescente utilização de sistemas informacionais estruturados e da própria Internet pelos atores do Sistema de Justiça;

CONSIDERANDO que a atuação jurisdicional e administrativa do STF deve se pautar pelos princípios da transparência e da publicidade, porém respeitando os direitos de personalidade e a autodeterminação dos atores do Sistema de Justiça;

CONSIDERANDO que a Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018 - LGPD) se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e à inovação nacional;

CONSIDERANDO que a LGPD estabelece as condições nas quais os dados pessoais podem ser tratados, define um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria procedimentos para que haja maior segurança e respeito à autodeterminação informativa dos titulares, durante o tratamento de dados pessoais e seu compartilhamento com terceiros;

CONSIDERANDO que a LGPD (art. 50) estimula os controladores e operadores a formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, adotando programa de governança em privacidade de dados;

CONSIDERANDO que a aplicação da LGPD deve ser harmônica com a Lei 12.527, de 18 de novembro de 2011 (LAI) em face do dever de transparência e prestação de contas à sociedade pela Administração Pública;

CONSIDERANDO o que consta no Processo Administrativo Eletrônico nº 011265/2020,

RESOLVE:

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política de Privacidade e Proteção de Dados Pessoais do Supremo Tribunal Federal (STF).

Art. 2º Esta Política regulamenta a proteção de dados pessoais nas atividades jurisdicionais e administrativas do STF, bem como no relacionamento do Tribunal com Ministros, magistrados, advogados, membros do Ministério Público, jurisdicionados, servidores, colaboradores, contratados, demais partes interessadas e público em geral.

Parágrafo único. O tratamento de dados pessoais pelo STF em suas plataformas e sistemas poderá ser regulamentado por atos normativos específicos, de acordo com suas particularidades, formulados e interpretados de acordo com os princípios e diretrizes desta Política.

CAPÍTULO II
DOS PRINCÍPIOS E DIRETRIZES PARA TRATAMENTO DE DADOS PESSOAIS

Art. 3º A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD):

I - finalidade;

II - adequação;

III - necessidade;

IV - livre acesso;

V - qualidade dos dados;

VI - transparência;

VII - segurança;

VIII - prevenção;

IX - não discriminação;

X - responsabilização e prestação de contas.

Art. 4º O tratamento de dados pessoais pelo STF deve atender a sua finalidade pública, com o objetivo de executar suas atribuições legais e constitucionais.

Parágrafo único. O Regimento Interno do STF e as demais normas de organização da Corte definem as funções e atividades que constituem as finalidades e os critérios balizadores do tratamento de dados pessoais para fins desta Política.

Art. 5º O STF poderá, nas atividades voltadas ao estrito exercício de suas competências e de acordo com os princípios e as bases legais estipuladas pela LGPD, proceder ao tratamento de dados pessoais independentemente de consentimento dos titulares.

Parágrafo único. No exercício de atividades administrativas não vinculadas diretamente ao exercício de suas competências legais e constitucionais, o STF deverá obter o consentimento dos titulares para tratar seus dados pessoais, sempre respeitando e concretizando a autodeterminação informativa dos envolvidos.

Art. 6º Os dados pessoais tratados pelo STF serão:

I - protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;

II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificados ou eliminados mediante informação ou constatação de impropriedade ou face a solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de prazos de retenção de dados;

III - compartilhados somente para o exercício das atividades voltadas ao estrito exercício de suas competências legais e constitucionais, ou para atendimento de políticas públicas aplicáveis; e

IV - revistos em periodicidade mínima anual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter encerrado o seu prazo de retenção.

Art. 7º A responsabilidade do STF pelo tratamento de dados pessoais estará circunscrita aos deveres decorrentes do exercício de suas atribuições constitucionais, legais e institucionais, pautando-se pelo princípio da prestação de contas, com emprego e demonstração das boas práticas de governança e de segurança da informação a fim de cumprir as normas de proteção de dados pessoais por meio de medidas eficazes.

Art. 8º O STF deverá adotar todas as medidas possíveis para garantir o usufruto dos direitos assegurados pela LGPD ao titular dos dados pessoais, bem como pelas legislações e atos normativos correlatos, informando adequadamente os procedimentos necessários à sua fruição nos respectivos sítios eletrônicos e materiais de divulgação específicos.

CAPÍTULO III
DAS MEDIDAS E REGRAS PARA TRATAMENTO DE DADOS

Art. 9º Os contratos firmados pelo STF com terceiros serão, gradativamente, adaptados para, no que couber, alinharem-se a esta Política.

Parágrafo único. Os contratos em vigor poderão ser revistos para adaptação e adequação a esta Política, e, dentro de suas particularidades, serem aditados ou regidos por disciplina própria para a consecução dessa reformulação.

Art. 10. Os dados pessoais sensíveis tratados na atividade jurisdicional independem de consentimento, com base no art. 11, II, a e b, da LGPD, sem prejuízo da observância de outras prescrições de tratamento de dados previstas na legislação processual.

Parágrafo único. Em relação às ações administrativas, o tratamento de dados sensíveis deverá se fundamentar nas hipóteses do art. 11, II, da LGPD, comprovando-se a indispensabilidade do tratamento e publicidade nos casos de eventual dispensa de consentimento, na forma do art. 23, I, da LGPD e de eventual disposição da Autoridade Nacional de Proteção de Dados (ANPD), em regulamento ou ato específico para regência de cada relação jurídica.

Art. 11. O tratamento de dados de criança e adolescente deve se pautar pelo seu melhor interesse e por sua máxima proteção, devendo o STF disponibilizar as informações sobre o tratamento realizado de maneira simples, clara e acessível, proporcionando o seu pleno entendimento por parte da criança, do adolescente, dos pais e dos responsáveis legais.

§ 1º Para fins desta Política, considera-se criança os menores de 16 anos e adolescente aqueles entre 16 e 18 anos.

§ 2º O tratamento de dados de adolescente seguirá adicionalmente as regras civis e penais aplicáveis.

§ 3º É vedado o repasse de dados pessoais de criança a terceiro sem o consentimento específico e destacado de um de seus pais ou responsáveis legais, neste último caso com a obrigação de o STF realizar esforços razoáveis e tecnologicamente possíveis para verificação da higidez do consentimento fornecido e da veracidade do responsável, mantendo pública a informação acerca dos dados coletados, da forma de sua utilização e dos procedimentos para o pleno exercício dos direitos do titular dos dados, nos termos do art. 14, §2º c/c art. 18 da LGPD.

§4º O tratamento de dados de criança na atividade jurisdicional e administrativa do Tribunal admite excepcionalmente a dispensa fundamentada do consentimento elencado no art. 14, §1º, da LGPD, quando tal medida for estritamente necessária para sua proteção e seu melhor interesse, assim como quando a coleta for necessária para contatar os pais ou responsáveis legais, de acordo com o art. 14, §3º, da LGPD.

Art. 12. Os portais do STF na internet poderão utilizar arquivos (cookies) para registrar e gravar, no computador do usuário, as preferências e navegações realizadas nas respectivas páginas, para fins estatísticos e de aprimoramento dos serviços, desde que obtido o consentimento do titular e respeitadas as normas de proteção de dados pessoais.

CAPÍTULO IV
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Art. 13. Para os fins do art. 5º, VI, da LGPD, o papel de Controlador é exercido pela União, representada pelo STF e dirigida por sua Alta Administração.

Art. 14. O STF poderá requisitar, a qualquer tempo, informações a respeito do tratamento dos dados pessoais confiados a fornecedores de produtos, prestadores de serviços ou parceiros para o Tribunal, respeitando-se o sigilo empresarial e as demais proteções legais.

Parágrafo único. Os fornecedores de produtos, prestadores de serviços e outros parceiros, ao tratarem os dados pessoais a eles confiados pelo STF, serão considerados operadores e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão os seguintes:

I - assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais definidas pelo STF;

II - apresentar evidências e garantias suficientes de que aplica medidas técnicas e administrativas adequadas de segurança para a proteção dos dados pessoais, nos termos definidos na legislação, em normas administrativas do STF e nos instrumentos contratuais;

III - manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de fornecer prova eletrônica a qualquer tempo;

IV - seguir fielmente as diretrizes e instruções transmitidas pelo STF;

V - facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo a prova do compromisso estar disponível em caráter permanente para exibição ao STF, mediante solicitação;

VI - permitir a realização de auditorias, incluindo inspeções pelo STF ou por quem por ele autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

VII - auxiliar, sempre que demandado pelo STF ou seu controlador, no atendimento pelo respectivo contratante, de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;

VIII - comunicar formalmente e de imediato ao Encarregado a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções;

IX - descartar de forma irrecuperável, ou devolver para o contratante, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Art. 15. A função de Encarregado pelo tratamento de dados pessoais (art. 5º, VIII, da LGPD) será exercida por unidade ou membro do Tribunal indicado pelo Presidente do STF.

§ 1º Os pedidos de titulares dos dados serão dirigidos à Central do Cidadão que os receberá e, indicando a pertinência temática à proteção de dados pessoais, encaminhará ao Encarregado para análise.

§ 2º O Encarregado examinará os pedidos e os encaminhará a Alta Administração do Tribunal, com parecer e proposta fundamentada de solução.

§ 3º O Encarregado comunicará ao titular dos dados a solução adotada pelo Controlador.

Art. 16. O Encarregado contará com apoio efetivo do Comitê Executivo de Proteção de Dados (CEPD) com a finalidade de estabelecer regras de segurança, de boas práticas, de governança, e de procedimentos envolvendo a proteção de dados pessoais para o adequado desempenho de suas funções.

§1º O CEPD atuará em conjunto com o Comitê Corporativo de Segurança da Informação (CCSI) do STF nas atividades de auxílio ao Encarregado.

§2º Caso solicitado pelo Encarregado, o CEPD e o CCSI poderão redigir parecer técnico acerca dos pedidos de titulares dos dados, em conjunto ou individualmente.

Art. 17. O STF poderá padronizar modelos de comunicação para utilização pelo Encarregado no atendimento de solicitações ou dúvidas de titulares de dados pessoais e demais procedimentos organizacionais visando assegurar a celeridade dos requerimentos.

Art. 18. É operador, no âmbito do STF, a pessoa natural ou jurídica, de direito público ou privado, que realizar tratamento de dados pessoais em nome do Controlador descrito no art. 13 desta Resolução.

Parágrafo único. Não é considerado operador, para os fins desta Política, o indivíduo natural que atue como profissional subordinado a uma pessoa jurídica ou como membro de seus órgãos.

CAPÍTULO V
DA SEGURANÇA E BOAS PRÁTICAS

Art. 19. O STF dispõe de Política de Segurança da Informação, além de CCSI, que especifica e determina a adoção de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados, situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.

Art. 20. O STF adotará boas práticas e governança em segurança da informação visando orientar comportamentos adequados e mitigar os riscos de comprometimento dos dados pessoais tratados em suas atividades jurisdicional e administrativa.

Art. 21. O Encarregado e o CEPD deverão manter a Alta Administração do STF informada a respeito de aspectos e de fatos significativos para a integridade dos sistemas do Tribunal.

Parágrafo único. Os membros do CEPD e o Encarregado deverão informar e ser informados pelo CCSI sobre os incidentes envolvendo dados pessoais.

Art. 22. A partir da data de sua publicação, a presente Política pode ser revista em intervalos planejados não superiores a 12 (doze) meses e deverá ser revisada ante a ocorrência de alguma das seguintes condições:

I - edição ou alteração de leis ou regulamentos relevantes que impactem sua regulamentação;

II - alteração de diretrizes estratégicas desempenhadas pela gestão do STF;

III - expiração da data de validade do documento, se aplicável;

IV - mudanças significativas na arquitetura de tecnologia da informação;

V - comunicação, de acordo com solicitação do CCSI;

VI - análises de risco em Relatório de Impacto de Proteção de Dados Pessoais que indiquem a necessidade de modificação na Política para readequação da organização visando a prevenir ou mitigar riscos relevantes.

CAPÍTULO VI
DISPOSIÇÕES FINAIS

Art. 23. Esta política integra a governança organizacional do STF, podendo ser avaliada pela Auditoria Interna.

Art. 24. Os casos omissos serão resolvidos pela Alta Administração da Corte, após ouvir o CEPD.

Art. 25. Ficam revogadas as disposições em sentido contrário.

Art. 26. Esta Resolução entra em vigor na data de sua publicação.

Ministro LUIZ FUX

(DJE nº 249/2021 de 07.01.2022 - págs. 4 a 6)