Esta política descreve como o Superior Tribunal de Justiça realiza o tratamento de dados pessoais de acordo com as normas de proteção vigentes, incluindo a Lei nº 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e as normas exaradas pelo Conselho Nacional de Justiça.
O Superior Tribunal de Justiça (STJ) exerce a função de
Controlador em nome da União, pessoa jurídica da qual é parte. Isso significa que o STJ é responsável pelas principais decisões referentes ao tratamento de dados pessoais na execução de suas atividades ou realizado por terceiros a seu pedido. Esses terceiros, que realizam tratamento de dados em nome do STJ, são chamados de
Operadores.
O Diretor-Geral da Secretaria do Tribunal é o Encarregado pelo tratamento de dados pessoais no STJ. Compete ao Encarregado atuar como canal de comunicação entre o STJ, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Estas atribuições serão realizadas da seguinte forma: por meio da disseminação das orientações daquela Autoridade a toda a estrutura funcional; pelo recebimento de reclamações e comunicações dos titulares; pelo recebimento de comunicações da Autoridade e a tomada de providências; orientação aos servidores e colaboradores a respeito das práticas para proteção de dados pessoais; e, por fim, a execução de outras atribuições determinadas pelo Tribunal em normas complementares. O contato com o Encarregado do STJ pode ser feito pelo endereço eletrônico [email protected].
Exercício de direitos pelo Titular
O STJ possui um canal específico para o exercício dos direitos previstos na LGPD. Esse serviço é a Requisição do Titular de Dados Pessoais e está disponível no
Sistema de Ouvidoria do STJ. Por meio desse canal, o titular pode solicitar:
confirmação da existência de tratamento;
acesso aos dados pessoais;
correção de dados pessoais incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
eliminação dos dados pessoais tratados com o consentimento do titular ou que já não possuam justificativa para sua manutenção;
informação das entidades públicas e privadas com as quais o STJ realizou uso compartilhado de dados pessoais.
Dados tratados
Inicialmente, cabe esclarecer que dados pessoais, ou informações pessoais, englobam qualquer informação sobre uma pessoa identificada ou que possa ser identificada. Não estão inclusos nesta definição os dados nos quais a identificação foi removida (dados anonimizados).
Assim, processamos dados de:
magistrados, servidores e colaboradores do Tribunal, incluindo empregados de empresas terceirizadas e estagiários;
pensionistas e dependentes de servidores;
partes, advogados, magistrados, membros do Ministério Público e da Defensoria Pública, auxiliares e colaboradores da Justiça, além de outros possíveis operadores do direito que atuem em processos judiciais;
usuários dos portais de serviços ou aplicativos do Tribunal;
qualquer contratante com o Tribunal e seus empregados;
participantes de editais de seleção;
visitantes das dependências do Tribunal.
Alguns desses grupos podem incluir crianças e adolescentes, cujos dados são sempre tratados no seu melhor interesse.
O STJ pode coletar, armazenar e usar determinadas categorias de informações pessoais sobre esses grupos de pessoas, tais como:
dados de identificação pessoal e contato, por exemplo: nome, cargo, endereços, números de telefone, endereços de e-mail, gênero sexual, estado civil, dependentes e número de documentos;
informações de login, como os nomes de registro e senhas utilizados para se identificar e autenticar em nossos sistemas;
dados financeiros;
composição familiar;
dados sobre educação e treinamento;
dados sobre profissão e emprego;
registros/gravações de vídeo, imagem e voz.
Além dessas, existem categorias especiais de dados pessoais sensíveis que requerem um nível mais alto de proteção. Desse tipo, pode-se coletar, armazenar e usar informações como:
dados biométricos, como impressão digital;
dados referentes à saúde;
dados que revelam filiação a sindicato;
dados relacionados à origem racial ou étnica.
Por fim, os sistemas responsáveis pela tramitação dos processos judiciais e administrativos (nomeados Justiça e SEI, respectivamente), armazenam autos digitais cujas peças podem conter outros tipos de dados pessoais, armazenados de forma não estruturada.
Como os dados são coletados
O STJ busca efetivar o princípio da coleta mínima, isto é, busca coletar apenas o indispensável para o funcionamento e cumprimento da finalidade de suas atividades.
Os dados podem ser coletados:
diretamente do titular, como quando ele preenche um formulário disponível no site, aplicativo ou presencialmente;
por meio de outras pessoas, como quando o servidor informa dados de seus dependentes;
por meio de outro órgão público com o qual o STJ se relaciona, como quando outro tribunal nos envia um recurso com informações sobre partes, advogados e magistrados que atuaram no processo;
por meio de empresas com a qual nos relacionamos, como quando empresa contratada para prestar serviços de limpeza nos repassa informações sobre seus empregados que atuarão no órgão;
por meio de bancos de dados que precisamos consultar, como as bases CPF e CNPJ da Receita Federal e o Cadastro Nacional de Advogados da Ordem dos Advogados do Brasil.
Como usamos os dados pessoais
Os dados pessoais somente são utilizados se autorizados por lei, isto é, nas hipóteses listadas nos artigos 7º e 11º da LGPD. Além disso, em conformidade com os princípios que regem a proteção de dados pessoais, nas operações com dados pessoais, nos limitamos àqueles adequados e necessários para o atingimento das finalidades expostas nessa política.
Na maior parte dos casos, o uso se dá independentemente do consentimento dos titulares, pois são situações nas quais ou é preciso cumprir uma obrigação legal expressa ou a utilização do dado é necessária para o exercício da competência legal e constitucional prevista ao STJ.
Contudo, excepcionalmente, pode ocorrer a solicitação de consentimento ao titular quando, no exercício de nossas atividades, verificarmos benefícios no uso destes dados pessoais, ainda que eles não sejam imprescindíveis para a realização de nossas competências ou o atendimento do interesse legítimo buscado.
Por outro lado, a obtenção do consentimento do titular dos dados pessoais é regra nos casos de tratamento de dados no interesse preponderante deste e a seu pedido.
Quando é necessário o consentimento para uso de dados de crianças, há preocupação em obtê-lo de pelo menos um dos pais ou do responsável legal, de forma específica e destacada.
Finalidade do tratamento de dados pessoais
O STJ utiliza dados pessoais para:
exercer sua competência jurisdicional ou administrativa;
realizar contratação de fornecedores e processos seletivos de pessoal;
executar e fiscalizar contratos;
manter os registros funcionais e dados de pagamento de seus servidores e estagiários;
comunicar-se com os diversos titulares com os quais se relaciona;
realizar ações de capacitação ou eventos internos ou externos;
realizar a comunicação institucional;
credenciar os usuários em sistemas de informação internos ou externos;
garantir a segurança pessoal e patrimonial do órgão;
fornecer e aprimorar nossos serviços voltados ao público externo ou interno;
produzir estatísticas quando não for possível com dados anonimizados;
cumprir ordens judiciais;
cumprir obrigações com órgãos de controle;
cumprimento de outras obrigações legais;
realizar ações de preservação da memória do órgão e promoção da cultura e da cidadania;
prestar a assistência à saúde que legalmente lhe compete;
exercer seus direitos em processo judicial, administrativo ou arbitral.
Categorias especiais de informações pessoais particularmente sensíveis requerem níveis mais altos de proteção. Precisamos ter mais justificativas para coletar, armazenar e usar esse tipo de informação pessoal. Processaremos dados pessoais sensíveis de acordo com nossa política de proteção de dados quando for do interesse público fazê-lo e necessário para:
exercer nossas competências legais e constitucionais;
cumprir alguma obrigação legal;
prevenir ou detectar atos ilícitos;
prevenir a fraude e garantir a segurança do titular, nos processos de identificação e autenticação em sistemas eletrônicos,
proteger a vida ou a incolumidade física do titular ou de terceiros;
na tutela da saúde, em procedimento realizado por nosso serviço de saúde;
exercer direitos em contratos ou em processos judiciais, administrativo ou arbitral.
quando tivermos consentimento explícito do titular para fazê-lo.
Por fim, buscamos eliminar todos dados que já não são necessários, por já terem atingido sua finalidade ou ter se encerrado o seu prazo de retenção.
Tomada de decisão automatizada
A tomada de decisão automatizada ocorre quando um sistema eletrônico usa informações pessoais para tomar uma decisão sem intervenção humana.
Caso o STJ tome decisões que terão um impacto significativo para os titulares com base em tratamento automatizado de dados pessoais, daremos ampla transparência a respeito dos critérios e dos procedimentos utilizados e oportunizaremos meios adequados para solicitação da revisão dessas decisões.
Compartilhamento de dados pessoais
Para o exercício das atividades voltadas ao estrito exercício de nossas competências legais e constitucionais, cumprimento de obrigações legais, ou para o atendimento de políticas públicas aplicáveis, poderemos partilhar os seus dados com terceiros, incluindo prestadores de serviços terceirizados ou outros órgãos governamentais. Também compartilharemos dados com outras pessoas, quando o titular nos autorizar a fazê-lo. Exigimos que terceiros respeitem a segurança de seus dados pessoais e os tratem de acordo com a lei.
Além disso, tornamos públicos alguns dados pessoais para o atendimento do princípio da transparência da atividade administrativa, sempre estritamente dentro do limite em que for necessário para o atingimento dessa finalidade. Essas informações serão disponibilizadas de forma ativa ou mediante solicitação de qualquer pessoa.
Segurança dos dados pessoais
O STJ se compromete a aplicar as medidas técnicas e organizacionais aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados. Além disso, limitamos o acesso aos dados às pessoas que dele necessitem para o cumprimento de suas atribuições junto ao STJ.
Para a garantia da segurança, são adotadas medidas que levam em consideração as técnicas adequadas; os custos de aplicação; a natureza, o âmbito, o contexto e as finalidades do tratamento; e os riscos para os direitos e liberdades do usuário.
O STJ se compromete, ainda, a comunicar os titulares, em prazo adequado, caso ocorra algum tipo de violação da segurança de seus dados pessoais que possa causar risco relevante para seus direitos e liberdades pessoais.
Além disso, qualquer pessoa que tiver conhecimento de possível violação da segurança de dados pessoais controlados pelo STJ pode nos comunicar o fato por meio de nossa Ouvidoria, para que tomemos as providências necessárias. O contato com a Ouvidoria pode ser feito no endereço
www.stj.jus.br/ouvidoria, pelo e-mail
[email protected] ou pelo telefone (61) 3319-8888.
Transferência internacional de dados
Em algumas circunstâncias, para o exercício de nossas competências ou em decorrência de acordo de cooperação internacional, poderemos transmitir suas informações pessoais para fora do Brasil. Se o fizermos, daremos transparência acerca da sua ocorrência e procuraremos garantir um grau de proteção em relação às suas informações pessoais semelhante ao exigido pelas normas brasileiras.