RESOLUÇÃO ADMINISTRATIVA Nº 30, DE 18 DE DEZEMBRO DE 2025

O TRIBUNAL REGIONAL ELEITORAL DA BAHIA, no uso de suas atribuições legais, CONSIDERANDO o disposto nos incisos X e XXXIII do art. 5º da Constituição Federal, na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); na Lei nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação; na Lei nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet; no Decreto nº 8.771, de 11 de maio de 2016; 

CONSIDERANDO o estabelecido na Resolução CNJ nº 121, de 05 de maio de 2010; na Resolução CNJ nº 215, de 16 de dezembro de 2015; na Resolução CNJ nº 363, de 12 de janeiro de 2021; na Resolução CNJ nº 370, de 28 de janeiro de 2021; na Resolução TSE nº 23.650, de 9 de setembro de 2021;

CONSIDERANDO a necessidade de proteção da privacidade e dos dados pessoais dos titulares nos atos e processos judiciais e administrativos em harmonia com o direito à informação;

CONSIDERANDO, ainda, o estabelecido no Guia Orientativo para definições de Agentes de Tratamento de Dados Pessoais e do Encarregado da Autoridade Nacional de Proteção de Dados -ANPD,

RESOLVE:

Art. 1º Fica aprovada a revisão e atualização da Política de Privacidade e Proteção de Dados Pessoais - PPPD do Tribunal Regional Eleitoral da Bahia (TRE-BA), aplicável a todas as unidades administrativas da sede e dos cartórios eleitorais, em conformidade com a Resolução TSE nº 23.650, de 9 de setembro de 2021, e demais normas aplicáveis.

Art. 2º Esta Política define conceitos, princípios, diretrizes e procedimentos que visam nortear o tratamento de dados pessoais no TRE-BA, a fim de garantir a proteção da privacidade de seus titulares, estabelece o compromisso com a segurança das informações dos(as) usuários(as) cadastrados(as) e visitantes do seu Portal institucional, bem como indica as responsabilidades do controlador(a), dos(as) operadores(as), do(a) encarregado(a) pelo tratamento de dados pessoais e do Comitê Gestor de Proteção de Dados Pessoais (CGPD).

§ 1º As disposições desta Política se referem ao tratamento de dados pessoais, inclusive os sensíveis contidos em qualquer suporte físico, seja eletrônico ou não.

§ 2º Os dados pessoais coletados e tratados nos sítios eletrônicos do Tribunal Regional Eleitoral da Bahia são objeto de Portaria específica, subordinada a esta Resolução.

§ 3º Esta Política aplica-se a todos(as) os(as) magistrados(as), servidores(as), estagiários(as), colaboradores(as), fornecedores(as) e prestadores(as) de serviços contratados(as) que, de qualquer forma, tratem dados pessoais em nome ou por ordem do TRE-BA.

Seção I
Dos Conceitos

Art. 3º Para o disposto nesta Resolução considera-se:

I - agentes de tratamento: o(a) controlador(a) e o(a) operador(a);

II - anonimização: aplicação de meios técnicos, razoáveis e disponíveis, para que um dado pessoal perca a capacidade de ser associado, direta ou indiretamente, a um indivíduo;

III - Autoridade Nacional de Proteção de Dados (ANPD): órgão vinculado à Presidência da República, responsável por zelar, implementar e fiscalizar a aplicação da LGPD em todo o território nacional e aplicar sanções em caso de descumprimento de suas determinações; 

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

VI - ciclo de vida do dado: todas as etapas de manuseio dos dados, desde o seu surgimento na instituição até o respectivo descarte ou o arquivamento;

VII - consentimento: manifestação livre, informada e inequívoca pela qual o(a) titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

VIII - controlador(a): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

IX - dado pessoal: informação relativa à pessoa natural identificada ou identificável;

X - dado pessoal de criança e adolescente: dado relativo a pessoas menores de 18 anos;

XI - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

XII - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XIII - encarregado: é a pessoa ou unidade indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD;

XIV - gestão de riscos: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial capazes de comprometer o alcance dos objetivos organizacionais;

XV - minimização de dados: princípio segundo o qual o tratamento de dados pessoais deve limitar-se ao mínimo necessário para a realização de suas finalidades, abrangendo apenas informações adequadas, pertinentes e não excessivas em relação ao propósito do tratamento;

XVI - operador(a) : é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do(a) controlador(a), em todas as instâncias, inclusive através de contratos ou instrumentos congêneres firmados no âmbito da instituição;

XVII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

XVIII - política: definição de determinado objetivo institucional e dos meios para atingi-lo;

XIX - privacidade: esfera íntima ou particular de pessoa natural;

XX - programa: conjunto articulado de projetos, planos, processos e ações para atingir determinado objetivo institucional, de acordo com a política que o define;

XXI - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XXII - titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento;

XXIII - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XXIV - tratamento de dados pessoais: qualquer atividade ou ação que se faça com dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; 

XXV - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Seção II
Dos Princípios

Art. 4º A aplicação desta Resolução será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da LGPD, a saber:

I - finalidade: o tratamento dos dados deve possuir propósitos legítimos, específicos, explícitos e informados ao titular;

II - adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados;

III - necessidade: limitação do tratamento ao mínimo necessário, considerados apenas os dados pertinentes, proporcionais e não excessivos para realização de sua finalidade;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e acessíveis sobre o tratamento de seus dados pessoais e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas que garantam a proteção dos dados pessoais contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: vedação de realizar o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção dos dados pessoais e, inclusive, da eficácia dessas medidas.

Parágrafo único. O TRE-BA deverá conciliar os princípios da publicidade e da eficiência administrativa com a proteção da intimidade e da vida privada da pessoa natural, a fim de resguardar o direito à proteção de dados pessoais e à autodeterminação informativa do titular dos dados.

Seção III
Dos Agentes de Tratamento dos Dados Pessoais

Art. 5º O TRE-BA é o controlador dos dados pessoais por ele tratados, ou tratados em seu nome e por sua ordem, sendo esta função de controlador exercida pelo desembargador titular ou substituto da Presidência, assessorado pelo CGPD.

§ 1º O TRE-BA atuará como Controlador Conjunto quando, por força de lei, regulamento, convênio, contrato ou instrumento jurídico congênere, determinar as finalidades e os meios de tratamento de dados pessoais de maneira conjunta, comum ou convergente com outra pessoa natural ou jurídica, de direito público ou privado.

§ 2º A formação, as atribuições e a designação dos integrantes do CGPD serão estabelecidas em normativo próprio. 

Art. 6º A função de operador será exercida por pessoa externa, natural ou jurídica, de direito público ou privado, sendo considerados como operadores os fornecedores e/ou prestadores de serviços que realizem o tratamento de dados pessoais em nome e por ordem do TRE-BA.

Art. 7º Compete ao Controlador:

I - instituir o Comitê Gestor de Proteção de Dados Pessoais e definir as respectivas atribuições em conformidade com a LGPD;

II - fornecer as instruções para a governança em privacidade, dentre as quais:

a) o modo como serão tratados os dados pessoais no Tribunal, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados;

c) a aplicação de metodologias de segurança da informação e proteção de dados pessoais;

III - determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética;

IV - verificar a observância das instruções e das normas sobre a matéria no âmbito do Tribunal;

V - elaborar, quando determinado pela Autoridade Nacional de Proteção de Dados, relatório de impacto à proteção de dados pessoais, inclusive sensíveis, referente às suas operações de tratamento de dados;

VI - comunicar à Autoridade Nacional de Proteção de Dados e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais que possam causar danos ou riscos relevantes ao titular;

VII - incentivar a disseminação da cultura da privacidade de dados pessoais no Tribunal;

VIII - determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.

§ 1º O Controlador poderá determinar ao CGPD a implementação de programa de governança em privacidade que, no mínimo:

a) demonstre o comprometimento do Tribunal em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob controle do Tribunal, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de operações, bem como à sensibilidade dos dados tratados no Tribunal;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

§ 2º O CGPD deverá demonstrar a efetividade do programa de governança em privacidade quando apropriado.

§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados.

Art. 8º Compete aos operadores: 

I - documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;

II - proteger a privacidade dos dados pessoais;

III - descrever os tipos de dados coletados;

IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

V - exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Art. 9º O Controlador e os operadores respondem solidariamente por todo tratamento inadequado dos dados pessoais dos quais resulte, dentre outros, prejuízo ao titular e comprometimento da confiabilidade do Tribunal Regional Eleitoral da Bahia.

Seção IV
Do Encarregado pelos Dados Pessoais

Art. 10. Fica designada a Ouvidoria Regional Eleitoral da Bahia como Unidade Encarregada pela Proteção de Dados Pessoais.

§ 1º A função de encarregado será exercida pelo titular da Ouvidoria.

§ 2º A designação de que trata o caput será objeto de publicação no Portal de Internet do TRE-BA, em seção específica sobre proteção de dados pessoais.

Art. 11. Compete à Unidade Encarregada:

I - ser o canal de comunicação entre o Tribunal e o titular de dados pessoais, a Autoridade Nacional de Proteção de Dados ou quaisquer outras instituições, no âmbito da LGPD; recebendo comunicações e adotando providências;

II - prestar esclarecimentos, realizar comunicações, orientar operadores sobre as práticas necessárias para garantir a proteção dos dados pessoais;

III - determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais no Tribunal, em conformidade com o previsto na LGPD;

IV - receber reclamações e solicitações dos titulares de dados pessoais (arts. 18 a 20 da LGPD) e prestar-lhes as informações, bem como comunicar-lhes a ocorrência e resposta a incidente de violação de privacidade;

V - dar ampla publicidade a esta Política, seus respectivos programas e instrumentos normativos congêneres, assim como divulgar informações de interesse público sobre o tema;

VI - apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais;

VII - executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Seção V
Do Tratamento de Dados Pessoais

Art. 12. O Tribunal Regional Eleitoral da Bahia deverá manter, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu Portal de Internet, informações sobre o tratamento e a privacidade de dados pessoais, conforme determinado no art. 23, I da LGPD, devendo constar:

I - as hipóteses que fundamentam a realização do tratamento de dados pessoais;

II - a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais;

III - a identificação do Controlador e seu contato;

IV - identificação da Unidade Encarregada, do seu titular e os meios de contato;

V - as responsabilidades dos operadores envolvidos no tratamento e os direitos do titular com menção expressa ao art. 18 da LGPD. 

Parágrafo único. As informações deverão ser apresentadas em linguagem clara, simples e acessível, inclusive com recursos de acessibilidade previstos em lei, para garantir a compreensão pelos titulares dos dados.

Art. 13. O tratamento de dados pessoais pelo TRE-BA é realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar suas competências legais e de cumprir as atribuições legais do serviço público.

Parágrafo único. O Regimento Interno do TRE-BA e demais normas de organização judiciária definem as funções e atividades que constituem as finalidades e balizadores do tratamento de dados pessoais para fins desta Política.

Art. 14. Em atendimento a suas competências legais, o TRE-BA poderá, no estrito limite de suas atividades jurisdicionais, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares. Eventuais atividades que transcendam o escopo da função jurisdicional estarão sujeitas à obtenção de consentimento dos interessados, com exceção, no que couber, das hipóteses de dispensa previstas nos arts. 7º e 11 da Lei nº 13.709/2018.

Art. 15. Os contratos, convênios e instrumentos congêneres mantidos pelo TRE-BA deverão estar disponíveis para consulta pelos interessados(as), nos termos da Lei de Acesso à Informação, observada a proteção dos dados pessoais que não sejam essenciais ao cumprimento da referida lei e ao interesse público, de acordo com a LGPD, de modo a se evitar a exposição indevida de dados que não precisem ser publicizados.

Parágrafo único. Para o cumprimento do disposto no caput, o TRE-BA deverá adotar medidas tais como a aposição de tarjas sobre dados pessoais ou a supressão parcial de números cadastrais.

Art. 16. O TRE-BA pode requisitar informações acerca do adequado tratamento dos dados pessoais confiados a pessoas físicas ou jurídicas com quem mantenha contratos, convênios ou instrumentos congêneres.

Parágrafo único. As pessoas físicas ou jurídicas mencionadas no caput deverão observar os regramentos estabelecidos por esta Resolução, além de cumprir os deveres contratuais e legais respectivos, dentre os quais se incluirão os seguintes:

I - firmar contrato ou termo de compromisso com cláusulas específicas de proteção de dados pessoais requeridas pelo TRE-BA, entre as quais o compromisso de que adota medidas técnicas e administrativas de segurança para a proteção dos dados pessoais segundo a legislação;

II - manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de fornecimento de prova eletrônica;

III - seguir as diretrizes e instruções transmitidas pelo TRE-BA;

IV - facultar acesso a dados pessoais somente para o pessoal autorizado, naquilo que for estritamente necessário, e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição ao Tribunal, mediante solicitação;

V - permitir a realização de auditorias, incluindo inspeções do TRE-BA, ou de auditor independente por ele autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

VI - auxiliar, em toda providência que estiver ao seu alcance, no atendimento pelo Tribunal de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;

VII - comunicar formal e imediatamente ao TRE-BA a ocorrência de incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções; 

VIII - descartar de forma irrecuperável, ou devolver para o TRE-BA, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Art. 16-A. O TRE-BA deverá manter registro atualizado das operações de tratamento de dados pessoais sob sua responsabilidade, conforme modelo definido pela ANPD e orientações do Conselho Nacional de Justiça - CNJ.

Art. 17. Os dados pessoais tratados pelo TRE-BA são:

I - protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;

II - mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou face a solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de prazos de retenção de dados;

III - compartilhados para atender a finalidades específicas de execução de políticas públicas e a atribuições legais pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no Art. 6º da LGPD;

IV - revistos em periodicidade mínima anual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

Parágrafo único. Ao compartilhar dados pessoais com outras entidades públicas ou privadas, o TRE-BA o fará baseado em propósitos legítimos, específicos e explícitos para o respectivo tratamento, limitando as informações compartilhadas somente àquelas indispensáveis ao atendimento do interesse público, somente podendo transferir dados pessoais a entidades privadas:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observando o disposto na Lei nº 12.527/2011 - Lei de Acesso à Informação - LAI;

II - nos casos em que os dados forem acessíveis publicamente;

III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, observada a devida comunicação à ANPD; e

IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou a proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Art. 18. A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade, na forma da lei e de acordo com as regras do regime de tramitação sob segredo de Justiça.

Art. 19. A responsabilidade do TRE-BA pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de sua competência legal e institucional e de empregar boas práticas de governança e de segurança.

Seção VI
Dos Direitos do Titular

Art. 20. O TRE-BA deve zelar para que o titular do dado pessoal possa usufruir dos direitos assegurados pelo Capítulo III da LGPD (arts. 17 a 22), aos quais a presente Política se reporta, por remissão. 

§ 1º Os usuários(as) internos que atuam junto ao TRE-BA, bem como fornecedoras e os fornecedores, e as prestadoras e prestadores de serviços que têm relação contratual com o TREBA, deverão atuar para que os direitos acima elencados sejam observados e viabilizados, cooperando para o atendimento dos requerimentos feitos pelos titulares de dados.

§ 2º Os direitos do titular elencados no Capítulo III e identificados nos demais capítulos da LGPD (arts. 17 a 22) devem estar publicados em área específica sobre a Lei no Portal de Internet do TREBA. 

Seção VII
Dos Deveres e Responsabilidades

Art. 21. É dever dos(as) usuários(as) internos do TRE-BA:

I - ler e cumprir integralmente os termos desta Política e as demais normas e procedimentos de proteção dos dados pessoais;

II - guardar estrita observância aos princípios e finalidades que orientam o seu tratamento pelo TRE-BA, ao dever de boa-fé, ao atendimento do interesse público e à preservação do melhor interesse do titular, especialmente quando se tratar de dados pessoais sensíveis e de crianças e adolescentes;

III - realizar o tratamento de dados pessoais utilizando o mínimo de informações para o cumprimento das finalidades pretendidas;

IV - manter o sigilo de todas as informações pessoais a que venham a ter acesso, em decorrência do desempenho de sua função, observando sempre a confidencialidade, a segurança e o cuidado com os dados pessoais custodiados pelo TRE-BA;

V - comunicar ao encarregado qualquer evento que viole esta Política ou coloque em risco os direitos e liberdades dos titulares de dados pessoais em tratamento;

VI - abster-se de usufruir do acesso privilegiado a dados pessoais para alcançar objetivos de ganho pessoal ou quaisquer vantagens próprias;

VII - participar das ações de conscientização e capacitação disponibilizadas pelo TRE-BA, a fim de disseminar a cultura da privacidade e proteção de dados pessoais na Instituição; e

VIII - responder pela inobservância das disposições desta Política e das demais normas e procedimentos ao tratamento de dados pessoais do TRE-BA.

Parágrafo único. A inobservância aos preceitos e disposições desta Política poderá ensejar a responsabilização cível, criminal e administrativa do colaborador e dos servidores, que deverão ater-se às disposições desta Política, bem como às cláusulas contratuais específicas acerca da proteção de dados pessoais.

Art. 22. Qualquer pessoa que tiver conhecimento de possível incidente de segurança da informação relacionado a dados pessoais deverá comunicar o fato, imediatamente, ao encarregado. 

Parágrafo único. Os comunicantes internos ou externos ao TRE-BA poderão utilizar os canais da Ouvidoria, que providenciará a ciência imediata do encarregado.

Seção VIII
Da Transferência Internacional de Dados

Art. 23. O Tribunal Regional Eleitoral da Bahia está sujeito ao dever de expedir ou atender cartas rogatórias, colaborar para autorização de atividades de cooperação internacional em investigação e persecução oficiais, e observar outros deveres inerentes à atividade jurisdicional que implicam transferências internacionais de dados.

Parágrafo único. Exceto no contexto indicado no caput, o TRE-BA não procederá às transferências internacionais de dados pessoais, inclusive para fins de convênios de cooperação administrativa com outros tribunais, exceto se prévia e formalmente autorizado mediante consentimento inequívoco pelo titular respectivo ou anonimização do dado pessoal para fins exclusivamente estatísticos. 

Seção IX
Da Segurança e Boas Práticas

Art. 24. O TRE-BA dispõe de uma Política de Segurança da Informação que especifica e determina a adoção de um conjunto de medidas técnicas e administrativas de segurança para a proteção de dados pessoais obtidos em decorrência do exercício de suas atividades contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.

Parágrafo único. Embora o Tribunal Regional Eleitoral da Bahia recorra à organização interna e à assessoria externa que seguem padrões e critérios nacionais e internacionais geralmente aceitos, tal precaução não implica em garantia contra a possibilidade de incidentes de segurança ou de violação da proteção de dados pessoais, haja vista, sobretudo, a contínua diversificação dos riscos cibernéticos.

Art. 25. O TRE-BA adota boas práticas e governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais.

§ 1º As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas na esfera interna do TRE-BA e em seus Portais de Intranet e Internet, visando a disseminar cultura protetiva, com conscientização e sensibilização dos interessados.

§ 2º As campanhas informativas mencionadas no parágrafo anterior deverão observar, minimamente, as orientações do rol exemplificativo de boas práticas, constante do anexo I.

Art. 26. O TRE-BA deverá reforçar e aprimorar constantemente esta Política, empreendendo estudos a fim de verificar a necessidade de sua revisão, no máximo a cada 3 (três) anos, atentando à evolução tecnológica e aos novos paradigmas de boas práticas ou, ainda, quando houver edição de ato ou alteração de leis ou regulamentos que interfiram em sua aplicação e, também, antes do referido prazo, quando houver necessidade em razão de ocorrências ou
incidentes que assim o exigirem. 

Parágrafo único. As revisões desta Política deverão observar, sempre que aplicável, as diretrizes e recomendações emanadas do Conselho Nacional de Justiça - CNJ.

Art. 27. O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), identificando vulnerabilidades e respectivos Planos de Ação, deverá ser elaborado sempre que solicitado pelo Controlador, CGPD ou ANPD e antes do tratamento de dados pessoais, preferencialmente na fase inicial do programa ou projeto que tem o propósito de usar esses dados.

§ 1º A celebração de contratos, convênios e instrumentos congêneres que envolvam tratamento de dados deve ser precedida pela elaboração de RIPD, com observância do princípio da transparência.

§ 2º A área de contratação do Tribunal deverá fornecer modelo de RIPD específico, baseado no modelo institucional estabelecido.

§ 3º Os gestores dos serviços, os gerentes de programa/projeto e as equipes de planejamento de contratos, convênios e instrumentos congêneres que envolvam tratamento de dados serão os 
responsáveis pela elaboração do RIPD.

Seção X
Da Fiscalização

Art. 28. O Comitê Gestor de Proteção de Dados Pessoais deverá propor, ad referendum do TRE-BA, procedimentos e mecanismos internos destinados ao monitoramento e à verificação do cumprimento desta Política, sem prejuízo das atribuições do Encarregado de Proteção de Dados Pessoais e das unidades responsáveis pela execução. 

Art. 29. O TRE-BA cooperará com fiscalizações promovidas por terceiros legitimamente interessados, devendo ser observadas as seguintes condições:

I - sejam informadas em tempo hábil;

II - tenham motivação objetiva e razoável;

III - não afetem a proteção de dados pessoais não abrangidos pelo propósito da fiscalização;

IV - não causem impacto, dano ou interrupção nos equipamentos, pessoal ou atividades do Tribunal.

Parágrafo único. A inobservância da presente Política de Privacidade e Proteção de Dados Pessoais acarretará a apuração das responsabilidades internas e externas previstas nas normas internas do TRE-BA e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa.

Seção XI
Das Diretrizes

Art. 30. Para conformar os processos e os procedimentos do Tribunal Regional Eleitoral da Bahia à Lei Geral de Proteção de Dados Pessoais, deverão ser consideradas as seguintes diretrizes:

I - levantamento dos dados pessoais tratados no Tribunal;

II - mapeamento dos fluxos de dados pessoais no Tribunal;

III - verificação da conformidade do tratamento com o previsto na LGPD;

IV - definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no Tribunal;

V - revisão e atualização da política e dos programas de segurança da informação;

VI - definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais durante seu ciclo de vida;

VII - definição do modo de prestar as informações sobre o tratamento de dados pessoais;

VIII - revisão e adequação à LGPD dos contratos firmados no âmbito do Tribunal;

IX - revisão e adequação à LGPD dos processos e procedimentos relacionados à área de saúde;

X - elaboração de Política de Tratamento de Dados Pessoais específica para dados relativos a crianças, jovens e idosos;

XI - definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na parte administrativa do Tribunal.

Seção XII
Das Disposições Finais

Art. 31. As informações protegidas por sigilo continuam resguardadas pelos atos normativos a elas relacionados.

Art. 32. A Política Geral de Privacidade e Proteção de Dados Pessoais e a Política de Segurança da Informação do TSE e do TRE-BA são complementares, devendo ser interpretadas em conjunto.

Art. 33. Os casos omissos serão dirimidos pela Presidência do Tribunal Regional Eleitoral da Bahia.

Art. 34. Fica revogada a Resolução Administrativa nº 5, de 20 de abril de 2021.

Art. 35. Esta Resolução entrará em vigor na data de sua publicação.

Sala de Sessões do TRE da Bahia, em 18 de dezembro de 2025.

ABELARDO PAULO DA MATTA NETO
Presidente do Tribunal Regional Eleitoral da Bahia

MAURICIO KERTZMAN SZPORER
Vice-Presidente e Corregedor Regional Eleitoral da Bahia

PEDRO ROGÉRIO CASTRO GODINHO
Desembargador Eleitoral

MOACYR PITTA LIMA FILHO
Desembargador Eleitoral MAÍZIA SEAL CARVALHO
Desembargadora Eleitoral

DANILO COSTA LUIZ
Desembargador Eleitoral

RICARDO BORGES MARACAJÁ PEREIRA
Desembargador Eleitoral Substituto

CLÁUDIO GUSMÃO
Procurador Regional Eleitoral

ANEXO I

Boas Práticas no Ambiente de Trabalho - Mesa Limpa e Tela Limpa

O TRE-BA deverá implementar regras de boas práticas e de governança que estabeleçam as orientações sobre padrões técnicos de privacidade e proteção de dados pessoais, a serem observados pelos usuários internos envolvidos no tratamento de dados pessoais.

Ambiente físico de trabalho - Mesa Limpa e Tela Limpa:

Trancar documentos com informações pessoais em local separado e protegidos de acessos indevidos, como gavetas e armários com trancas e/ou salas de arquivo que possuam ferramentas de controle de acesso, limitando o acesso às pessoas que necessitem tratar os dados para desempenhar suas funções.

Não deixar sobre a mesa ou nos monitores papéis, anotações, lembretes, post-its, certidões, cópias de processos, documentos administrativos e mídias removíveis (pen drives, CDs, HDs externos etc.) contendo dados pessoais e informações sensíveis.

Manter agendas, cadernos e pertences pessoais em gavetas fechadas, com trancas, fechaduras e /ou outras ferramentas que restrinjam ou dificultem o acesso de terceiros.

Não anotar senhas e logins em papéis ou em arquivos digitais de fácil acesso. Memorizá-los ou armazená-los em local seguro, como em gerenciadores de senhas virtuais.

Ao utilizar salas de reuniões, auditórios ou qualquer outro ambiente externo, retirar e descartar todos os papéis, apagar as anotações feitas em quadros e descartar a folha do flipchart (bloco de anotação em cavalete), de modo a impossibilitar a identificação das informações.

Durante o trabalho, evitar deixar papéis visíveis através de janelas, divisórias ou corredores. Posicionar a tela do dispositivo eletrônico adequadamente (computador desktop, notebook etc.), de modo a evitar que as informações fiquem visíveis a terceiros não autorizados.

Não imprimir documentos desnecessariamente. Optar por lê-los na tela do dispositivo eletrônico, sempre que possível. Ao enviar documentos para impressão, retirá-los da impressora imediatamente.

Antes de descartar os documentos, destruí-los completamente, especialmente aqueles que contenham dados pessoais. Informações sensíveis deverão ser destruídas completamente antes de serem descartadas.

Ambiente digital de trabalho:

Garantir que o acesso ao dispositivo eletrônico (computador desktop, notebook etc.), bem como às senhas e aos sistemas utilizados no desempenho das tarefas, seja restrito.

Manter a área de trabalho do seu dispositivo eletrônico limpa e organizada, arquivando os documentos em pastas devidamente identificadas e realizando backup periódico.

Bloquear o dispositivo eletrônico manualmente sempre que se ausentar da mesa de trabalho.

Sempre que disponível, habilitar a ferramenta "confirmação em duas etapas" em todos seus programas ou aplicativos. Manter a tela do celular bloqueada.

Ao utilizar dispositivo eletrônico de terceiros em apresentações, deletar todos os seus arquivos do dispositivo após a utilização. Lembrar-se também de deletá-los da lixeira do dispositivo eletrônico. 

Desligar o dispositivo eletrônico ao final do dia, certificando-se de desconectar qualquer mídia removível conectada a ele.

Desligamento automático de Ex-Servidores:

Garantir que a servidora ou servidor que tenha sido dispensado de suas funções ou cargo público seja imediatamente desligado de todos os dispositivos e sistemas aos quais tivera acesso enquanto servidor.