O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais e tendo em vista o contido no processo SEI/CNJ nº 15739/2025,

 

RESOLVE:

 

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º Esta Portaria:

I – estabelece diretrizes para as ações de planejamento, de execução das obrigações funcionais e de gestão administrativa, no âmbito do Conselho Nacional de Justiça, de modo a observar-se adequadamente o direito à proteção de dados pessoais e à autodeterminação informativa das pessoas naturais, conciliando os princípios da publicidade e da eficiência com a proteção da intimidade e da vida privada da pessoa natural, em consonância com o inciso LXXIX do art. 5º da Constituição da República e com as Leis nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), 12.965/2014 (Lei do Marco Civil da Internet) e 12.527/2011 (Lei de Acesso à Informação - LAI);

II – regula o relacionamento do Conselho Nacional de Justiça com os usuários de seus serviços, magistrados, servidores, fornecedores e quaisquer terceiros, no que concerne à proteção de dados pessoais tratados em qualquer suporte físico ou eletrônico.

Art. 2º O tratamento de dados pessoais pelo CNJ será pautado pelo dever de boa-fé e pela observância dos seguintes princípios previstos no art. 6º da LGPD:

I – finalidade;

II – adequação;

III – necessidade;

IV – livre acesso;

V – qualidade dos dados;

VI – transparência;

VII – segurança;

VIII – prevenção;

IX – não discriminação; e

X – responsabilização e prestação de contas.

Art. 3º O tratamento de dados pessoais pelo CNJ deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências normativas, correcionais, administrativas e institucionais.

 

CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS

Art. 4º Em atendimento às suas competências constitucionais e legais, o CNJ poderá, no estrito limite de suas atribuições, tratar dados pessoais sem o consentimento dos titulares, desde que observados os princípios previstos no art. 6º da LGPD e amparado em uma das bases legais previstas nos arts. 7º, 11 e 23 a 27 da referida Lei, especialmente no cumprimento de obrigação legal ou regulatória (art. 7º, II).

Parágrafo único. As atividades que extrapolem as hipóteses mencionadas no caput deste artigo dependerão do consentimento prévio e expresso dos titulares dos dados pessoais, observado o disposto nos arts. 7º, inciso I, e 8º da LGPD.

Art. 5º O CNJ manterá contratos com terceiros para o fornecimento de produtos ou prestação de serviços necessários Às suas operações, cujo teor poderá ser disponibilizado ao público, nos termos da LAI, ressalvadas as informações protegidas por sigilo ou não essenciais ao interesse público.

Art. 6º Os dados pessoais tratados pelo CNJ serão:

I – mapeados e inventariados para fins de gestão e controle;

II – protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilizações, impactos e violações;

III – mantidos disponíveis, exatos, adequados, pertinentes e atualizados, devendo o dado pessoal ser retificado, anonimizado ou eliminado ao término do tratamento, mediante solicitação do titular, quando cabível, ou por constatação de impropriedade, devendo o descarte do dado observar as condições e os períodos das tabelas de temporalidade de retenção de dados;

IV – compartilhados mediante contrato, convênio, termo de compromisso ou instrumento congênere que preveja garantias de proteção aos dados, somente para o exercício das funções judiciárias ou para atendimento de políticas públicas aplicáveis;

V – revistos em periodicidade máxima bienal, preferencialmente ao final do primeiro ano de cada gestão, sendo de imediato eliminados aqueles que já não forem necessários por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção;

VI – submetidos à análise de riscos relacionados às atividades de tratamento, considerando a natureza, o volume, as categorias dos dados tratados e outros fatores relevantes que possam afetar os titulares dos dados pessoais;

VII – submetidos à análise e à elaboração de Relatório de Impacto à Proteção de Dados Pessoais quando solicitado ou nas hipóteses previstas na LGPD.

§ 1º O compartilhamento de dados pessoais entre o CNJ e outros órgãos e entidades públicas deverá, quando cabível, ser formalizado por meio de contrato, convênio, termo de compromisso ou instrumento congênere simplificado, que indique, no mínimo, a finalidade do tratamento compartilhado, as categorias de dados pessoais envolvidos e as garantias de proteção aos direitos dos titulares, assegurando-se ao titular o acesso facilitado às informações pertinentes, exceto nas hipóteses em que houver previsão legal expressa que dispense essa formalização.

§ 2º O compartilhamento de dados entre as unidades de gestão de pessoas de órgãos ou entidades públicas para o cumprimento de obrigações normativas dispensa a formalização de instrumento próprio, nos termos do art. 26 da LGPD, respeitados os princípios previstos no art. 6º da citada lei.

Art. 7º A competência do CNJ para o tratamento de dados pessoais fica limitada ao exercício de sua competência normativa e institucional, devendo observar as boas práticas de governança e segurança.

Parágrafo único. No tratamento de dados pessoais sensíveis, previsto no art. 11 da LGPD, o CNJ poderá adotar salvaguardas técnicas e administrativas adicionais compatíveis com a natureza e a criticidade dos dados tratados.

 

CAPÍTULO III
DOS DIREITOS E DO ATENDIMENTO AOS TITULARES

Art. 8º O CNJ zelará pelo exercício dos direitos do titular dos dados pessoais previstos nos arts. 18 e 19 da LGPD.

Parágrafo único. O CNJ assegurará que o exercício dos direitos previstos neste Capítulo seja garantido a todas as pessoas com deficiência, mediante a disponibilização das informações em formatos acessíveis, a adoção de tecnologias assistivas, a oferta de meios de comunicação alternativos, acessibilidade digital e demais recursos necessários à fruição integral dos direitos previstos na LGPD, em consonância com a Lei nº 13.146/2015 (Lei Brasileira de Inclusão da Pessoa com Deficiência) e a Resolução CNJ nº 401/2021.

Art. 9º O titular dos dados pessoais, por si ou por representante legalmente constituído, assegurada a confirmação de identidade do requerente, tem direito de obter do controlador, por intermédio do encarregado:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com esta Portaria ou com o disposto na LGPD;

V – portabilidade dos dados;

VI – eliminação dos dados pessoais tratados com o seu consentimento, exceto nas hipóteses necessárias de conservação para o cumprimento dos princípios e normas da atividade administrativa, caso em que deverá ser informado acerca do prazo de conservação de seus dados;

VII – informação das entidades públicas e privadas com as quais o controlador compartilhou dados pessoais; e

VIII – as finalidades do tratamento e o seu fundamento jurídico.

§ 1º O titular dos dados pessoais possui direito a um atendimento transparente, realizado de forma concisa, inteligível e de fácil acesso, com o uso de linguagem clara e simples, na forma da lei, com observância das regras do regime de tramitação sob sigilo ou segredo de Justiça.

§ 2º O titular dos dados pessoais deve ser prévia e expressamente informado sobre a possibilidade de não fornecer consentimento para o tratamento de seus dados, quando cabível, e sobre as consequências da negativa, bem como sobre a possibilidade de revogação do consentimento a qualquer tempo, nos termos do § 5º do art. 8º da LGPD.

§ 3º O titular de dados pessoais poderá ser demandado a prestar informações sobre a sua identidade para confirmação e validação da autenticidade da solicitação, sendo possível a solicitação de documentos pessoais com validade no território nacional.

§ 4º Na ocorrência da hipótese do § 3º, serão garantidos os direitos previstos na legislação pertinente, principalmente quanto à preservação da privacidade e à proteção dos dados pessoais fornecidos pelo titular para aferição da autenticidade.

§ 5º Quando não for possível atender à requisição do titular, especialmente por incompatibilidade com as bases legais utilizadas para o tratamento, o CNJ informará os motivos do não cumprimento efetivo do requerimento, bem como fornecerá as informações que se façam possíveis, ressalvadas as hipóteses de sigilo.

Art. 10. As informações poderão ser solicitadas e prestadas de forma segura e idônea, por meio eletrônico ou impresso.

§ 1º O requerimento por meio eletrônico será apresentado no canal eletrônico disponibilizado no portal do CNJ para o encaminhamento de requerimentos de informações ou de reclamações ao encarregado, bem como para o fornecimento da resposta aos titulares dos dados pessoais, organização, armazenamento e encaminhamento de eventuais providências.

§ 2º O requerimento na forma impressa será apresentado e sua resposta estará disponível em local indicado para esse fim no portal do CNJ, cabendo ao Conselho a digitalização e inserção na plataforma eletrônica para fins de registro e processamento.

§ 3º Serão considerados como não recebidos os requerimentos encaminhados por canais diversos dos indicados neste artigo.

§ 4º No caso de a coleta dos dados pessoais não ter sido realizada de forma direta pelo CNJ, deverá ser disponibilizada ao titular dos dados, em caso de solicitação, informação acerca da real origem dos dados.

Art. 11. O Comitê Gestor da Lei Geral de Proteção de Dados Pessoais (CGLGPD) padronizará modelos de comunicação para utilização pelo Encarregado no atendimento de solicitações ou dúvidas de titulares de dados pessoais e nos demais procedimentos organizacionais, visando a assegurar a celeridade necessária para a prestação da informação no prazo de 15 (quinze) dias contados da data do protocolo do requerimento do titular, podendo tal prazo ser prorrogado, mediante justificativa fundamentada, por igual período ou outro prazo fixado pela Agência Nacional de Proteção de Dados (ANPD).

Parágrafo único. As comunicações ao titular observarão linguagem simples, acessível e inclusiva, com disponibilização em formatos acessíveis.

 

CAPÍTULO IV
DOS AGENTES DE TRATAMENTO

Art. 12. Os magistrados, servidores e demais agentes públicos ou colaboradores que atuem no âmbito do CNJ, no desempenho de suas atribuições e funções institucionais, deverão observar os deveres legais, éticos e funcionais relacionados ao adequado tratamento de dados pessoais, competindo-lhes:

I – acessar somente os dados estritamente necessários para o exercício de suas atribuições institucionais e funcionais;

II – utilizar os dados pessoais exclusivamente para as finalidades institucionais autorizadas, sendo vedada sua utilização para finalidades pessoais ou desconectadas do interesse público;

III – preservar o sigilo e a confidencialidade dos dados pessoais aos quais tenham acesso, inclusive após o eventual desligamento do CNJ ou da função desempenhada;

IV – comunicar imediatamente ao Encarregado ou ao superior hierárquico eventual incidente de segurança ou suspeita de uso indevido de dados pessoais;

V – observar as diretrizes e os normativos internos sobre segurança da informação e proteção de dados pessoais; e

VI – participar de capacitações e ações formativas promovidas pelo CNJ sobre proteção de dados pessoais e boas práticas de tratamento.

§ 1º Os titulares de cargos de gestão e chefia, bem como os coordenadores, gerentes e dirigentes de unidades organizacionais deverão, ainda, no âmbito de suas competências:

I – supervisionar e garantir o cumprimento das normas de proteção de dados por parte de suas equipes;

II – orientar e acompanhar os agentes subordinados quanto às boas práticas de tratamento de dados pessoais;

III – promover ou garantir a participação das equipes em ações de capacitação; e

IV – comunicar formalmente ao Encarregado qualquer incidente ou descumprimento relevante no âmbito de sua unidade.

§ 2º O descumprimento das obrigações previstas neste artigo poderá ensejar responsabilização administrativa, nos termos da legislação aplicável, sem prejuízo da responsabilização civil ou penal, quando cabível.

Art. 13. O CNJ atuará como controlador ou controlador conjunto, assumindo as respectivas obrigações legais previstas na LGPD e nesta Portaria, quando for o responsável pelas principais decisões referentes ao tratamento dos dados pessoais.

Parágrafo único. O CNJ atuará como operador nas hipóteses em que tratar dados pessoais em nome do controlador e segundo as instruções por ele fornecidas.

Art. 14. O CNJ poderá, a qualquer tempo, requisitar informações acerca dos dados pessoais confiados a pessoas com quem mantenha contratos, convênios ou instrumentos congêneres, os quais serão considerados operadores e deverão observar os regramentos estabelecidos por esta Portaria, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluem, todavia não se limitam, aos seguintes:

I – prestar informações sobre forma de comunicação de incidentes sob responsabilidade do operador;

II – produzir registros para propósitos forenses;

III – prestar informações sobre prazos e frequências para comunicações e envio de registros;

IV – assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pelo CNJ;

V – apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança para a proteção dos dados pessoais, segundo a legislação e os instrumentos contratuais e de compromissos;

VI – manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica;

VII – seguir fielmente as diretrizes e instruções transmitidas pelo CNJ;

VIII – facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade respectiva e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao CNJ, mediante solicitação;

IX – permitir a realização de auditorias, incluindo inspeções do CNJ ou de auditor independente por ele autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

X – auxiliar, em toda providência que estiver ao seu alcance, o atendimento de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;

XI – comunicar formalmente e de imediato ao CNJ qualquer risco, ameaça ou incidente de segurança capaz de acarretar comprometimento ou dano, potencial ou efetivo, aos titulares dos dados pessoais, evitando atrasos por conta de verificações ou inspeções; e

XII – apresentar evidências de descarte irrecuperável ou devolver para o CNJ todos os dados pessoais e as cópias existentes após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Parágrafo único. As disposições previstas no caput deste artigo aplicam-se aos órgãos e entidades que atuem como operadores ou controladores conjuntos no tratamento de dados pessoais, respeitadas as especificidades do regime jurídico próprio e observadas as formalidades previstas no art. 6º, inciso IV, e respectivo parágrafo único, desta Portaria.

 

CAPÍTULO V
DA GOVERNANÇA

Art. 15. O CNJ manterá estrutura administrativa interna para o atendimento das diretrizes estabelecidas na presente Portaria, no uso e no tratamento de dados pessoais, compreendida, no mínimo, pelo Encarregado e pelo Comitê Gestor da Lei Geral de Proteção de Dados Pessoais (CGLGPD).

Art. 16. O(a) Encarregado(a) pelo Tratamento de Dados Pessoais previsto nos arts. 5º, VIII, e 41 da LGPD será um(a) Conselheiro(a) indicado(a) pelo plenário, com respectivo(a) suplente, para mandato de dois anos, com possibilidade de uma recondução.

Parágrafo único. O(a) Encarregado(a) será assessorado(a), no exercício de suas atribuições, por Grupo de Trabalho Técnico de caráter multidisciplinar composto, entre outros, por servidores das áreas de tecnologia e segurança da informação e jurídica.

Art. 17. O Comitê Gestor da Lei Geral de Proteção de Dados Pessoais (CGLGPD) é composto por:

I – o(a) Conselheiro(a) Encarregado(a) pelo Tratamento de Dados Pessoais, que o coordenará;

II – o(a) Conselheiro(a) Ouvidor(a) Nacional de Justiça;

III – o(a) Secretário(a)-Geral;

IV – o(a) Secretário(a) de Estratégia e Projetos;

V – o(a) Diretor(a)-Geral;

VI – o(a) Juiz(íza) Auxiliar da Presidência e Coordenador(a) do Departamento de Pesquisas Judiciárias;

VII – o(a) Juiz(íza) Auxiliar da Presidência e Coordenador(a) do Departamento de Monitoramento e Fiscalização do Sistema Carcerário e do Sistema de Execução de Medidas Socioeducativas (DMF);

VIII – o(a) Juiz(íza) Auxiliar da Presidência e Supervisor(a) do Departamento de Tecnologia da Informação e Comunicação;

IX – o(a) Juiz(íza) Auxiliar da Presidência e Coordenador(a) do Departamento de Gestão Estratégica;

X – um(a) Juiz(íza) Auxiliar da Corregedoria Nacional de Justiça;

XI – o(a) Diretor(a) Executivo(a) do Departamento de Tecnologia da Informação e Comunicação;

XII – o(a) Secretário(a) de Comunicação Social.

Parágrafo único. O Secretário(a) de Auditoria integrará o Comitê Gestor na qualidade de membro facilitador, sem direito a voto.

Art. 18. As atividades exercidas pelo(a) Encarregado(a) e respectivo suplente e pelos integrantes do CGLGPD e do Grupo de Trabalho Técnico terão caráter honorífico, exercendo-se sem prejuízo das atribuições profissionais regulares e sem a percepção de remuneração adicional.

Art. 19. Compete ao(à) Encarregado(a):

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os magistrados, servidores, contratados e quaisquer terceiros a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Parágrafo único. O encarregado contará com apoio efetivo do CGLGPD para o adequado desempenho de suas funções.

Art. 20. No sítio eletrônico do CNJ, deverão constar, de forma clara e objetiva, pelo menos:

I – a identidade e as informações de contato do Encarregado; e

II – a forma de acesso aos formulários de requerimento de informações e de apresentação de reclamações.

Art. 21. As unidades do CNJ prestarão as informações necessárias para o desenvolvimento dos trabalhos do CGLGPD e ao desempenho das atribuições do encarregado.

Art. 22. Compete ao CGLGPD:

I – propor normas e instrumentos regulamentares voltados à adequada aplicação da LGPD;

II – indicar medidas administrativas e operacionais destinadas à implementação efetiva da LGPD nas unidades do CNJ;

III – acompanhar e avaliar o grau de conformidade institucional com a legislação de proteção de dados;

IV – propor diretrizes para o aprimoramento contínuo de mecanismos de proteção a dados pessoais, inclusive nos campos do planejamento, da governança, administração de processos e procedimentos, elaboração de normas, rotinas operacionais, práticas organizacionais, desenvolvimento e gestão de sistemas de informação e relações com a imprensa;

V – fomentar a capacitação contínua de membros e servidores quanto à proteção de dados pessoais e à produção do conhecimento necessário ao manejo de medidas administrativas adequadas para a tutela integral dos direitos violados ou ameaçados;

VI – disseminar a cultura de proteção de dados pessoais, com o objetivo de promover a conscientização sobre os riscos derivados de seu tratamento, de forma a minimizá-los em diferentes ambientes, especialmente tecnológicos; e

VII – propor à Presidência a criação de grupos de trabalho para o desempenho de tarefas ou entrega de produtos específicos para alcance de finalidades ou objetivos determinados.

Art. 23. O CGLGPD poderá solicitar a colaboração de outras unidades do CNJ ou de pessoas com expertise no tema quando houver necessidade de apoio técnico ou de conhecimentos específicos.

 

CAPÍTULO VI
DA SEGURANÇA, TRANSPARÊNCIA E PRESTAÇÃO DE CONTAS

Art. 24. O CNJ deverá reforçar e aprimorar constantemente sua política de Segurança da Informação, em especial as medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito, observando padrões internacionalmente reconhecidos de gestão de segurança e privacidade da informação.

Parágrafo único. As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas no âmbito do CNJ, visando à disseminação de cultura de proteção de dados pessoais, com ações de sensibilização institucional.

Art. 25. O Encarregado e o CGLGPD informarão, imediatamente, à Presidência sobre incidentes de segurança que representem risco ou dano relevante aos titulares, observando protocolo de resposta previamente aprovado.

§ 1º O protocolo referido no caput deste artigo definirá, no mínimo:

I – classificação de gravidade do incidente em níveis, considerando a natureza e sensibilidade dos dados, volume afetado e potencial de dano;

II – prazo máximo de comunicação à Presidência e, quando aplicável, à Agência Nacional de Proteção de Dados, conforme gravidade do incidente;

III – descrição da natureza dos dados pessoais afetados;

IV – informações sobre os titulares envolvidos;

V – medidas técnicas e administrativas adotadas para proteção e contenção do incidente, observados os segredos comercial e industrial;

VI – riscos relacionados ao incidente e estratégias para mitigação;

VII – motivos da demora, no caso de comunicação não imediata; e

VIII – ações adotadas para prevenir a recorrência.

§ 2º As informações coletadas servirão como insumo para a elaboração de relatório de incidente cibernético, destinado à documentação interna, ao fortalecimento da governança e ao atendimento das obrigações de comunicação à ANPD e a outras autoridades competentes, observadas a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e as diretrizes da Política de Segurança da Informação do CNJ, nos termos da Resolução CNJ nº 396/2021, e da Portaria Presidência nº 47/2017.

Art. 26. As informações sobre a aplicação da LGPD no âmbito do Conselho serão divulgadas no portal do CNJ, incluindo:

I – requisitos para o tratamento legítimo de dados (bases legais);

II – obrigações do controlador e os direitos dos titulares;

III – informações sobre o encarregado;

IV – informações sobre o tratamento de dados pessoais, nos termos do art. 9º da LGPD, por meio de avisos de cookies, política de privacidade para navegação na página da instituição, política geral de privacidade e proteção de dados pessoais; e

V – formulário para o exercício do direito de solicitação de informações ou de reclamações pelo titular dos dados pessoais, bem como orientações quanto ao procedimento para o seu encaminhamento.

Art. 27. Os órgãos administrativos do CNJ deverão promover e apresentar informações ao CGLGPD, no prazo de 180 (cento e oitenta) dias a contar da publicação desta Portaria, relativas ao tratamento de dados pessoais realizado em suas atividades, no âmbito do processo de elaboração do mapeamento do Registro de Operações de Tratamento (Ropa).

Parágrafo único. As informações deverão contemplar, no mínimo:

I – a base legal que fundamenta cada hipótese de tratamento;

II – o conjunto de dados pessoais coletados, especificando eventual tratamento de dados sensíveis, de crianças e adolescentes e de titulares vulneráveis;

III – a finalidade do tratamento;

IV – os mecanismos já empregados para garantir conformidade com a LGPD;

V – a análise quanto à possibilidade de minimização dos dados tratados;

VI – a avaliação da destinação dos dados após o tratamento (guarda, eliminação, anonimização, entre outros); e

VII – os compartilhamentos realizados, internos ou externos, inclusive internacionais, quando aplicável.

 

CAPÍTULO VII
DISPOSIÇÕES FINAIS

Art. 28. Esta Portaria entra em vigor na data da sua publicação.

Art. 29. Fica revogada a Portaria Presidência nº 213/2020.

 

Ministro Edson Fachin
Presidente