Justiça e Privacidade

Justiça e

Privacidade

IMPLEMENTANDO A LGPD no TJRO

Edição #7

A LGPD e os incidentes de segurança com dados pessoais

Preocupando-se com a proteção dos dados pessoais, o TJRO adota diversas medidas para evitar incidentes de segurança. Mesmo assim, ainda é possível que um incidente ocorra, por isso o Tribunal mantém um Plano de Resposta a Incidentes para contê-los e tratá-los.

É muito importante que todos(as) os(as) magistrados(as) e servidores(as) conheçam esse fluxo e saibam quando acioná-lo.

Breach Detection Isolated Cartoon Vector Illustrations.

O QUE É UM INCIDENTE DE SEGURANÇA?

É um evento adverso, acidental ou não, que pode ocasionar dano ou risco de dano aos titulares dos dados pessoais.

Os controladores dos dados pessoais, incluindo o TJRO, precisam atuar de forma rápida e eficiente para garantir sua contenção.

Em casos mais graves, é obrigatório que o controlador comunique o incidente aos titulares afetados e à Autoridade Nacional de Proteção de Dados.

Veja a seguir alguns exemplos de incidentes:

Acesso não autorizado a dados sensíveis

Um assessor do Tribunal, aproveitando uma vulnerabilidade no sistema de gestão processual, acessa informações sigilosas de um processo judicial em segredo de justiça que envolve dados pessoais e sensíveis, como detalhes de saúde e vida sexual.

Envio de documentos para destinatários errados

Uma servidora do tribunal, ao enviar documentos de um procedimento administrativo interno por e-mail, acidentalmente envia os arquivos para um destinatário incorreto, expondo dados pessoais e informações de outros servidores.

Perda ou roubo de dispositivos contendo dados sensíveis

Uma magistrada tem o laptop ou dispositivo móvel cedido pelo Tribunal furtado. Este dispositivo contém todo o histórico de documentos de processos criminais, incluindo um elevado número de informações sobre vítimas e réus.

E o que fazer no caso de um incidente?

IDENTIFICAÇÃO DO INCIDENTE

O servidor (a), magistrado(a), estagiário(a) ou terceiro(a) pode identificar e reportar o incidente ao Encarregado por meio do Formulário de Reporte Simplificado, disponibilizado pela Encarregada pelo tratamento de dados pessoais no TJRO.

Este formulário requer informações básicas sobre o incidente, como:

Data e hora de identificação
Tipo
Origem
Descrição
Possíveis razões
Dados afetados
Titulares afetados

CLASSIFICAÇÃO E ANÁLISE DO INCIDENTE

Após o recebimento do formulário, é realizada a classificação do incidente e sua análise prévia, a fim de levantar informações sobre ocorrido, como procedência, causa e impactos.

Nessa etapa as equipes técnicas do Tribunal também atuam para conter o incidente em sistemas e dispositivos. O Comitê Gestor de Proteção de Dados (CGPD) acompanha as atividades, em cooperação com o Grupo Gestor Permanente de Tratamento e Resposta a Incidentes de Segurança Cibernética (GPTIR).

NOTIFICAÇÃO DO INCIDENTE E FINALIZAÇÃO

Após a avaliação das características e das consequências do incidente, seguindo os critérios estabelecidos pela Autoridade Nacional de Proteção de Dados, a Encarregada pelo tratamento de dados pessoais no TJRO avaliará a necessidade de comunicar o incidente aos titulares dos dados afetados e à ANPD.

Ao fim, o CGPD, em conjunto com a Encarregada, avalia necessidade de adoção de novas medidas corretivas e, superado o incidente, promove seu registro.

Para saber mais, confira o Portal de Proteção de Dados do Tribunal:

CLIQUE AQUI

Em caso de dúvida, contate-nos pelo e-mail:

lgpd@tjro.jus.br

Justiça e Privacidade é uma iniciativa integrante do projeto de implantação do Sistema de Privacidade e Proteção de Dados do TJRO, atendendo às diretrizes da LGPD e da Resolução nº 363/2021 do CNJ. O objetivo da série é difundir conhecimentos relacionados ao tema da privacidade e proteção de dados pessoais aos servidores, magistrados, fornecedores, jurisdicionados e terceiros que se relacionam com o Tribunal.