RESOLUÇÃO ADMINISTRATIVA Nº 6, DE 20 DE ABRIL DE 2021

O TRIBUNAL REGIONAL ELEITORAL DA BAHIA, no uso das atribuições que lhe confere o inciso XXXIII do artigo 32 do Regimento Interno (Resolução Administrativa nº 1, de 27 de abril de 2017) ,

CONSIDERANDO a Resolução TSE nº 23.501, de 19 de dezembro de 2016 , que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO o disposto na Resolução CNJ nº 363, de 12 de janeiro de 2021 , que estabelece medidas para o processo de adequação à Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), a serem adotadas pelos tribunais;

CONSIDERANDO o disposto na Resolução CNJ nº 370, de 28 de janeiro de 2021 , que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC- JUD); e

CONSIDERANDO a publicação da Resolução Administrativa TRE-BA nº 05, de 20 de abril de 2021 , que institui a Política de Privacidade e Proteção de Dados Pessoais do Tribunal Regional Eleitoral da Bahia e dá outras providências,

RESOLVE:

Art. 1º Alterar o inciso IV e parágrafo único do artigo 7º e o caput do artigo 15 da Resolução Administrativa nº 16/2018 , que passam a vigorar com a seguinte redação:

"Art. 7. [...]

IV - do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais (CGSIPD); e [...]

Parágrafo único. O CGSIPD deverá atuar como consolidador do Plano de Tratamento de Riscos de ativos de informação, de proteção de dados pessoais e de processamento do TRE-BA.

[...]

Art. 15. A composição e as atribuições do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais, inclusive as relativas à gestão dos riscos associados, serão definidas em normativo próprio, que discipline a governança de TIC, no âmbito do TRE-BA."

Art. 2º Revogar os incisos do artigo 15 da Resolução Administrativa nº 16/2018 .

Art. 3º Alterar a nomenclatura da seção II do capítulo IV do título III e a redação dos artigos 35, 36, 38 e incisos I, II e IV do artigo 37 da Resolução Administrativa nº 17/2018 , que passam a vigorar com a seguinte redação:

"Seção II

Do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais

Art. 35. Fica instituído o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais (CGSIPD) como órgão colegiado de natureza deliberativa e de caráter permanente, subordinado à Presidência, cuja composição deverá contemplar, no mínimo, representantes da Secretaria-Geral da Presidência, e das Secretarias a ela vinculadas, da Corregedoria Regional Eleitoral, da Diretoria-Geral e das Secretarias a ela vinculadas, e da Assessoria de Comunicação Social.

§1º. O Presidente do CGSIPD poderá convocar titulares e servidores das unidades da STI, ou de outra área do Tribunal, para participar das reuniões em função do assunto a ser abordado.

Art. 36. Compete ao Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais:

I    - formular e conduzir princípios, diretrizes e estratégias para a gestão da segurança da informação e da proteção e privacidade de dados pessoais em conformidade com a Política de Segurança da Informação da Justiça Eleitoral (PSI) e com as disposições da Lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD), bem como para a gestão dos riscos relacionados, de modo que os gestores implementem processos de trabalho, métodos, técnicas, ferramentas, arquitetura e padrões;

II   - apresentar ao Conselho de Governança propostas de princípios, diretrizes e políticas para a gestão da segurança da informação e proteção de dados pessoais, bem como dos riscos relacionados;

III  - analisar periodicamente a efetividade dos princípios, diretrizes e estratégias estabelecidos;

IV  - propor melhorias à PSI, subsidiado pelo monitoramento e avaliação periódicos das práticas de segurança da informação e de proteção de dados pessoais;

V  - propor a elaboração e a revisão de normas, procedimentos, planos e/ou processos, visando à operacionalização e monitoramento da PSI e da LGPD no âmbito do Tribunal;

VI  - promover a divulgação da PSI, LGPD e normativos afins, bem como ações para disseminar a cultura em segurança da informação e proteção de dados pessoais;

VII  - identificar, no âmbito do Tribunal, os agentes de tratamento de dados pessoais referidos na Lei n.º 13.709, de 2018, bem como definir suas atribuições e responsabilidades;

VIII  - propor ações visando à fiscalização da aplicação da PSI, LGPD e normas afins;

IX   - propor recursos necessários à implementação das ações de segurança da informação e proteção de dados pessoais;

X    - prospectar, analisar, e implementar ações, metodologias, processos, responsabilidades, mecanismos e ferramentas que visem à melhoria da gestão da segurança das informações digitais e da proteção de dados pessoais em cadastros, bases de dados e sistemas informatizados, de acordo com padrões nacionais e internacionais, bem como zelar pela efetiva aplicabilidade dos recursos destinados às ações estabelecidas;

XI  - deliberar acerca de relatório da identificação, avaliação, tratamento e monitoramento de riscos e mapeamento de vulnerabilidades nos ativos a ser elaborado pela Comissão Técnica de Segurança da Informação e Proteção de Dados Pessoais (CTSIPD), com periodicidade semestral ou quando necessário;

X  - deliberar sobre relatório de impacto à proteção de dados pessoais que deve descrever processos de tratamento de dados capazes de gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como conter medidas, salvaguardas e mecanismos de mitigação desses riscos, a ser elaborado pela CTSIPD, com periodicidade anual ou quando necessário;

XI  - propor a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de segurança da informação e de tratamento inadequado ou desprotegido de dados pessoais;

XII  - propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR), de acordo com a norma vigente;

XIII  - propor a constituição de comissões e grupos de trabalho para tratar de temas sobre segurança da informação e proteção de dados pessoais;

XIV  - analisar padrões de integração, qualidade e segurança dos sistemas de informação;

XV  - auxiliar a Presidência na gestão da segurança da informação e da proteção de dados pessoais, submetendo-lhe as deliberações;

XVI  - deliberar sobre matérias que lhe sejam submetidas relativas à segurança da informação e à proteção de dados pessoais;

XVII  - acompanhar regulamentação no âmbito do Poder Judiciário e monitorar o cumprimento de determinações provenientes da Autoridade Nacional de Proteção de Dados (ANPD) com relação a tratamento e proteção de dados pessoais; e

XVIII  - desenvolver outras atividades inerentes à sua finalidade.

Art. 37. [...]

I   - propor normas relativas à segurança da informação ao Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais;

II   - propor iniciativas para aumentar o nível da segurança da informação ao Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais, com base, inclusive, nos registros armazenados pela ETIR;

[...]

IV  - implantar, em conjunto com as demais áreas, normas, procedimentos, planos e/ou processos elaborados pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais; e

[...]

Art. 38. Deverá ser instituída ETIR, conforme modelo proposto pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e aprovado pelo titular da Diretoria-Geral da Secretaria do Tribunal, com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas como subsídio estatístico e para fins de auditoria.

[...]"

Art. 4º Alterar o inciso V do artigo 9º , a nomenclatura da seção III do capítulo II do título IV e o artigo 13 , bem como o inciso III, do art. 22, da Resolução Administrativa nº 33/2019 , que passam a vigorar com a seguinte redação:

"Art. 9º [...] [..]

V  - Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais; [...]

Seção III

Dos Comitês de Governança e Gestão de TIC e Gestor de Segurança da Informação e Proteção de Dados Pessoais

Art. 13. A composição e as atribuições dos Comitês de Governança e Gestão de TIC, bem como do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais, estão definidas em normativo próprio, que disciplina a governança de TIC no âmbito do TRE-BA.

Art. 22. Constituem instâncias internas de apoio à governança do Tribunal Regional Eleitoral da Bahia:

[...]

III - Comitê Gestor da Internet e Intranet; [...]"

Art. 5º Esta Resolução entrará em vigor na data de sua publicação. Salvador, em 20 de abril de 2021.

ROBERTO MAYNARD FRANK

Desembargador Presidente do Tribunal Regional Eleitoral da Bahia

MÁRIO ALBERTO SIMÕES HIRS

Desembargador Vice-Presidente e Corregedor Regional Eleitoral da Bahia

FREDDY CARVALHO PITTA LIMA