RESOLUÇÃO ADMINISTRATIVA N° 31, DE 18 DE DEZEMBRO DE 2025

O TRIBUNAL REGIONAL ELEITORAL DA BAHIA, no uso das atribuições que lhe são conferidas pelo Regimento Interno, pela Política de Privacidade e Proteção de Dados Pessoais do TRE-BA e pela legislação vigente, especialmente a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), 

CONSIDERANDO o dever institucional do TRE-BA de assegurar o tratamento de dados pessoais em conformidade com os princípios, direitos e garantias previstos na LGPD;

CONSIDERANDO o princípio da prestação de contas e responsabilização, previsto no art. 6º, inciso X, da LGPD, que impõe ao controlador o dever de adotar medidas eficazes para demonstrar o cumprimento das normas de proteção de dados pessoais;

CONSIDERANDO as diretrizes constantes da Resolução CNJ nº 363, de 12 de janeiro de 2021, que orienta os órgãos do Poder Judiciário a implementar estruturas de governança, mecanismos de fiscalização e gestão de riscos em proteção de dados pessoais, e da Resolução CNJ nº 615, de 11 de março de 2025, que estabelece diretrizes para o desenvolvimento, utilização e governança de soluções desenvolvidas com recursos de inteligência artificial no Poder Judiciário;

CONSIDERANDO o disposto na Resolução CD/ANDP nº 15, de 24 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança;

CONSIDERANDO as melhores práticas recomendadas pela Autoridade Nacional de Proteção de Dados (ANPD), voltadas à adoção de políticas de governança, planos de ação, procedimentos de monitoramento e mecanismos de prevenção e resposta a incidentes;

CONSIDERANDO a necessidade de conferir efetividade à Política de Privacidade e Proteção de Dados Pessoais do TRE-BA, aprovada em 2021, que prevê a definição dos procedimentos e mecanismos internos de fiscalização de seu cumprimento; 

CONSIDERANDO a proposta aprovada pelo Comitê Gestor de Proteção de Dados Pessoais (CGPD), que reúne representantes de áreas estratégicas do Tribunal para apoiar o Encarregado e propor medidas de implementação da Política;

RESOLVE:

Art. 1º Ficam aprovados, nos termos desta Resolução, os procedimentos e mecanismos internos de fiscalização do cumprimento da Política de Privacidade e Proteção de Dados Pessoais no âmbito do Tribunal Regional Eleitoral da Bahia.

Art. 2º Para os fins desta Resolução, consideram-se procedimentos e mecanismos internos de fiscalização o conjunto estruturado de atividades administrativas, técnicas e operacionais destinadas a:

I - Verificar a conformidade dos processos de tratamento de dados pessoais com a LGPD e com a Política de Privacidade do TRE-BA;

II - Identificar riscos e vulnerabilidades;

III - Propor e implementar medidas preventivas e corretivas;

IV - Garantir a prestação de contas à Alta Administração, à sociedade e aos órgãos de controle, inclusive à ANPD.

Art. 3º Os procedimentos e mecanismos internos de fiscalização instituídos por esta Resolução compreendem, no mínimo:

I - Inventário e mapeamento de processos de tratamento de dados pessoais, com atualização periódica, registro padronizado das finalidades, bases legais, categorias de dados, responsáveis, operadores e fluxos de compartilhamento;

II - Elaboração periódica de relatórios de conformidade, contendo diagnóstico da aderência à LGPD, identificação de não conformidades, análise de causas e proposição de plano de ação para mitigação de riscos;

III - Avaliação e gestão de riscos em proteção de dados pessoais, por meio da construção e atualização de matriz de riscos, identificação de medidas preventivas e, quando necessário, elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), nos termos da legislação aplicável;

IV - Se houver processos/sistemas com Inteligência Artificial (IA) que tratem dados pessoais (p.ex., triagem, classificação, análise de risco), o RIPD precisa abordar transparência, supervisão humana e riscos específicos

V - Plano institucional de capacitação e conscientização, com treinamentos periódicos e materiais orientativos destinados a magistrados, servidores e colaboradores terceirizados, visando consolidar a cultura organizacional de proteção de dados pessoais;

VI - Procedimento padronizado para registro e resposta a incidentes de segurança com dados pessoais, contendo fluxo de identificação, registro, classificação de risco, contenção, mitigação, análise de impacto, comunicação interna, notificação à ANPD e, quando aplicável, aos titulares, conforme previsto em anexo a esta Resolução;

VII - Canal institucional de atendimento aos titulares de dados pessoais, assegurando o recebimento, registro, análise e resposta das solicitações de exercício de direitos previstos na LGPD, dentro dos prazos e formalidades legais;

VIII - Monitoramento contínuo da conformidade, mediante a utilização de indicadores de desempenho relacionados à proteção de dados pessoais já instituídos no âmbito do Tribunal e a definição de novos indicadores, quando necessário, com elaboração de relatórios periódicos para análise pelo CGPD e apresentação à Alta Administração, demonstrando a efetividade das ações de governança e garantindo a prestação de contas institucional; 

IX - Procedimento de revisão e atualização da Política de Privacidade e Proteção de Dados Pessoais, a ser realizado periodicamente, ao menos a cada dois anos ou sempre que necessário, considerando alterações legislativas, regulamentares ou institucionais.
Parágrafo único. O programa de capacitação referido no inciso IV do art. 3º deverá contemplar, no mínimo, treinamento em Governança em Proteção de Dados Pessoais.

Art. 4º Compete ao Encarregado de Proteção de Dados Pessoais articular a execução dos procedimentos e mecanismos previstos nesta Resolução junto às unidades administrativas responsáveis pelos respectivos processos de tratamento de dados pessoais, observadas as atribuições institucionais e o disposto na Lei Geral de Proteção de Dados Pessoais.

§ 1º. A supervisão do cumprimento desta Resolução caberá ao Comitê Gestor de Proteção de Dados Pessoais (CGPD).

§ 2º. A coordenação da implementação e da atualização dos procedimentos e mecanismos instituídos por esta Resolução caberá a Comissão Técnica de Proteção de Dados Pessoais (CTPD)."

Art. 5º Compete ao Comitê Gestor de Proteção de Dados Pessoais:

I - Analisar e deliberar sobre a implementação, atualização e aperfeiçoamento dos procedimentos e mecanismos de fiscalização instituídos nesta Resolução;

II - Avaliar periodicamente a eficácia dos controles internos de proteção de dados pessoais;

III - Propor medidas corretivas ou preventivas destinadas à mitigação de riscos identificados;

IV - Submeter, ad referendum do Pleno do Tribunal, eventuais alterações ou complementações a esta Resolução.

Art. 6º Os casos omissos ou situações excepcionais serão resolvidos pelo Comitê Gestor de Proteção de Dados Pessoais, observados os princípios da razoabilidade, proporcionalidade e a legislação aplicável, com comunicação à Presidência do Tribunal.

Art. 7º Esta Resolução entra em vigor na data de sua publicação.

Sala de Sessões do TRE da Bahia, em 18 de dezembro de 2025.

ABELARDO PAULO DA MATTA NETO
Presidente do Tribunal Regional Eleitoral da Bahia

MAURICIO KERTZMAN SZPORER
Vice-Presidente e Corregedor Regional Eleitoral da Bahia

PEDRO ROGÉRIO CASTRO GODINHO
Desembargador Eleitoral

MOACYR PITTA LIMA FILHO
Desembargador Eleitoral

MAÍZIA SEAL CARVALHO
Desembargadora Eleitoral

DANILO COSTA LUIZ
Desembargador Eleitoral

RICARDO BORGES MARACAJÁ PEREIRA
Desembargador Eleitoral Substituto

CLÁUDIO GUSMÃO
Procurador Regional Eleitoral

ANEXO I
PROCEDIMENTO PARA COMUNICAÇÃO À ANPD E AOS TITULARES DE DADOS INCIDENTES

DE SEGURANÇA COM DADOS PESSOAIS

1. Objetivo 

Estabelecer o procedimento interno padronizado para registro, avaliação e, quando necessário, comunicação à Autoridade Nacional de Proteção de Dados (ANPD) em caso de incidente de segurança envolvendo dados pessoais no âmbito do TRE-BA.

2. Definição 

Incidente de segurança com dados pessoais: evento adverso confirmado ou sob suspeita que envolva acesso não autorizado, destruição, perda, alteração, vazamento ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais.

3. Fluxo geral

3.1. Identificação e registro inicial

Qualquer servidor ou prestador que identificar ou suspeitar de incidente deve notificar imediatamente o Encarregado de Proteção de Dados Pessoais. Utilizar o formulário interno de notificação de incidente, contendo ao menos:
Data e hora do incidente ou da detecção.
Descrição resumida do ocorrido.
Dados ou sistemas afetados.
Possíveis envolvidos.

3.2. Avaliação preliminar
O Encarregado de Proteção de Dados Pessoais, em conjunto com a área de TI e o CGPD, realiza análise preliminar para:
Verificar a existência e gravidade do incidente.
Avaliar o impacto sobre titulares de dados.
Identificar se há risco ou dano relevante.

3.3. Classificação do incidente
Classificar conforme o risco para os titulares:
Baixo: sem impacto relevante, sem necessidade de notificação.
Médio: impacto potencial moderado, monitoramento e contenção interna.
Alto: impacto relevante ou confirmado - exige comunicação à ANPD e aos titulares.

3.4. Contenção e mitigação
Adoção imediata de medidas para conter o incidente e reduzir impactos:
Isolamento de sistemas afetados.
Bloqueio de acessos indevidos.
Recuperação de dados, quando possível.
Notificação interna às unidades envolvidas.

3.5. Comunicação à ANPD
Nos casos classificados como de alto risco ou dano relevante aos titulares, o Encarregado deverá comunicar à ANPD, por meio de formulário eletrônico disponibilizado pela agência, no prazo de três dias úteis, contados do conhecimento pelo controlador de que o incidente afetou dados pessoais. 

A comunicação de incidente de segurança deverá conter as seguintes informações:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III - as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V - os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto nesta Resolução; 

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII - a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;

VIII - os dados do encarregado ou de quem represente o controlador;

IX - a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;

X - a identificação do operador, quando aplicável;

XI - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e

XII - o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.

As informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação.

3.6. Comunicação aos titulares dos dados
A comunicação de incidente de segurança ao titular deverá ser realizada pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, e deverá conter as seguintes informações:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

III - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

IV - os motivos da demora, no caso de a comunicação não ter sido feita no prazo previsto nesta Resolução;

V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

VI - a data do conhecimento do incidente de segurança; e

VII - o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

3.7. Registro e encerramento

Todo incidente deverá ter um registro formal em sistema de informação específico ou planilha de controle, com acesso restrito aos perfis autorizados, contendo:

I - data de conhecimento do incidente;

II - a descrição geral das circunstâncias em que o incidente ocorreu;

III - a natureza e a categoria de dados afetados;

IV - o número de titulares afetados;

V - a avaliação do risco e os possíveis danos aos titulares;

VI - as medidas de correção e mitigação dos efeitos do incidente, quando aplicável;

VII - a forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares;

VIII - os motivos da ausência de comunicação, quando for o caso;

IX - Status (encerrado/em monitoramento).

4. Responsabilidades

Unidades/setores: comunicação imediata de suspeitas ou incidentes.
Encarregado de Proteção de Dados Pessoais: coordenação geral do processo, avaliação de risco,
elaboração de notificações.
CGPD: acompanhamento, validação de classificações de risco e orientações estratégicas.
Área de TI: suporte técnico para contenção, análise forense e mitigação de impactos.

5. Atualização do procedimento Este procedimento deverá ser revisado periodicamente, a cada 2 anos ou em prazo inferior se houver:

Alterações legislativas ou regulatórias.
Atualizações de normas internas.
Lições aprendidas após incidentes.

6. Observações finais

Este Anexo integra o conjunto de documentos e normas internas de proteção de dados pessoais do TRE-BA.
O descumprimento das etapas aqui previstas deverá ser justificado formalmente ao CGPD.

ANEXO II
MODELO DE COMUNICAÇÃO AO TITULAR SOBRE INCIDENTE DE SEGURANÇA COM
DADOS PESSOAIS

Assunto: Aviso de Incidente de Segurança Envolvendo Seus Dados Pessoais
Prezado(a) [Nome do Titular], 
Em cumprimento à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) e à Resolução CD/ANPD nº 15/2024, comunicamos que identificamos um incidente de segurança que pode ter afetado dados pessoais de sua titularidade.

1. Descrição resumida do incidente
[Descrever de forma clara e simples: "acesso não autorizado aos sistemas", "extravio de documento contendo dados", etc.]

2. Data ou período aproximado da ocorrência
[Indicar data ou intervalo]

3. Dados pessoais afetados
[Listar em linguagem acessível - ex.: nome, CPF, endereço, e-mail, dados financeiros, dados sensíveis, etc.]

4. Riscos prováveis aos titulares
[Ex.: risco de uso indevido dos dados, fraude, discriminação, constrangimento, violação de sigilo profissional/judicial, impactos financeiros]

5. Medidas de contenção e mitigação adotadas
[Ex.: bloqueio de acessos, investigação interna, auditoria, notificação de autoridades competentes, reforço de controles técnicos e organizacionais]

6. Ações preventivas e corretivas adicionais
[Ex.: revisão de contratos, treinamentos, melhorias de governança em segurança, atualização de protocolos de resposta a incidentes]

7. Orientações ao titular
[Ex.: monitorar movimentações suspeitas, revisar extratos financeiros, alterar senhas de acesso, adotar autenticação em dois fatores, contatar o órgão em caso de dúvidas ou problemas]

8. Canais de contato para esclarecimentos
[Nome do Encarregado/DPO]
[E-mail institucional]
[Telefone]
Estamos à disposição para qualquer esclarecimento adicional e reafirmamos nosso compromisso com a segurança e a privacidade dos dados pessoais que tratamos.
Atenciosamente,
[Data]
[Nome do Encarregado/DPO]
[Nome do Órgão]