Capa do Ebook gratuito Analista Judiciário - Tecnologia da Informação: Preparação Completa para Concursos do Judiciário

Analista Judiciário - Tecnologia da Informação: Preparação Completa para Concursos do Judiciário

Novo curso

24 páginas
Todos os cursos > Concursos > Técnico Judiciário ::

Legislação de proteção de dados e sigilo para Analista Judiciário - TI: LGPD e boas práticas

Capítulo 22

Tempo estimado de leitura: 14 minutos

+ Exercício

LGPD aplicada à TI no Judiciário: o que muda na prática

A Lei Geral de Proteção de Dados (LGPD) estabelece regras para o tratamento de dados pessoais por organizações públicas e privadas. Para a área de TI no Judiciário, a LGPD impacta diretamente como sistemas processuais, portais, integrações, armazenamento de documentos e rotinas de suporte lidam com dados de partes, advogados, servidores, peritos, testemunhas e terceiros. O foco prático é garantir que o tratamento seja justificado (base legal), limitado ao necessário (finalidade e minimização), rastreável (registro e auditoria) e protegido (medidas técnicas e administrativas), com resposta adequada a incidentes.

Conceitos essenciais para TI

Dado pessoal, dado pessoal sensível e dado anonimizado

Dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável. Em TI, isso inclui tanto campos óbvios (nome, CPF) quanto identificadores indiretos (matrícula, login, IP associado a usuário, identificador de sessão quando vinculável a uma pessoa).

Dado pessoal sensível é um subconjunto com maior risco: origem racial/étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou vida sexual, dado genético ou biométrico. No Judiciário, é comum em laudos, prontuários anexados, perícias médicas, dados biométricos de controle de acesso, e documentos com informações de saúde.

Dado anonimizado é aquele que não permite identificação do titular, considerando meios técnicos razoáveis. Para TI, anonimização não é “apagar nome”: é reduzir a possibilidade de reidentificação (inclusive por cruzamento). Se houver possibilidade razoável de reidentificar, trata-se de pseudonimização (ainda é dado pessoal).

  • Exemplo (processo judicial): petição com nome e CPF da parte = dado pessoal; laudo com diagnóstico e CID = dado sensível; relatório estatístico de produtividade com contagens agregadas por vara sem identificadores = potencialmente anonimizado (avaliar risco de reidentificação em grupos pequenos).

Agentes de tratamento: controlador, operador e encarregado

Controlador é quem toma decisões sobre o tratamento (finalidade e meios). No contexto do Judiciário, em regra, o órgão/tribunal atua como controlador para os tratamentos sob sua competência institucional.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Operador trata dados em nome do controlador (por exemplo, empresa contratada para sustentação, digitalização, nuvem, central de atendimento, ou desenvolvimento sob demanda). Para TI, isso se traduz em requisitos contratuais, segregação de ambientes, controles de acesso e auditoria sobre prestadores.

Encarregado (DPO) é o canal de comunicação com titulares e ANPD. A TI frequentemente apoia o encarregado com inventário de sistemas, evidências de controles, logs e informações para resposta a incidentes e solicitações.

Bases legais relevantes para TI no setor público

Bases legais são fundamentos que autorizam o tratamento. Em sistemas do Judiciário, as mais recorrentes são:

  • Cumprimento de obrigação legal/regulatória: retenção de documentos, registros, transparência quando exigida.
  • Execução de políticas públicas / atribuição legal (administração pública): tratamentos necessários para a prestação do serviço jurisdicional e atividades administrativas correlatas.
  • Execução de contrato: mais comum em relações com fornecedores e serviços ao usuário quando aplicável (ex.: serviços digitais com termos).
  • Legítimo interesse: exige avaliação cuidadosa e documentação; no setor público, tende a ser usado com parcimônia e com justificativa robusta.
  • Consentimento: não é a base “padrão” no Judiciário; quando usado, deve ser livre, informado e revogável, e não pode ser condição indevida para acesso a serviço essencial.

Para TI, a consequência prática é: cada sistema e cada fluxo de dados deve ter finalidade e base legal documentadas, refletidas em requisitos, telas, integrações e políticas de retenção.

Princípios que viram requisitos de sistema

  • Finalidade e adequação: coletar e usar dados para propósitos específicos e compatíveis (ex.: dados para intimação não devem ser usados para fins alheios).
  • Necessidade (minimização): coletar o mínimo necessário (ex.: não exigir CPF quando bastar e-mail institucional ou número do processo).
  • Transparência: informar como e por que dados são tratados (avisos de privacidade, termos, comunicados).
  • Segurança e prevenção: controles proporcionais ao risco (criptografia, IAM, segregação, hardening, monitoramento).
  • Responsabilização e prestação de contas: evidências (logs, políticas, relatórios, registros de operações, testes, auditorias).

Direitos do titular e impactos em TI

Os titulares têm direitos como confirmação de tratamento, acesso, correção, anonimização/bloqueio/eliminação (quando aplicável), portabilidade (em certos contextos), informação sobre compartilhamentos e revisão de decisões automatizadas. No Judiciário, há limites e particularidades por dever legal, interesse público e regras processuais, mas a TI precisa viabilizar o atendimento quando cabível, com rastreabilidade e segurança.

  • Exemplo prático: pedido de acesso a dados cadastrais em um portal de serviços. TI deve permitir extração segura, autenticação forte, trilha de auditoria e validação de identidade.
  • Exemplo com restrição: eliminação de dados de um processo pode ser incompatível com obrigações legais de guarda e com a integridade do acervo processual; nesse caso, a resposta deve ser fundamentada e o sistema deve suportar bloqueio/restrição de uso quando aplicável, sem apagar registros essenciais.

Segurança na LGPD: medidas técnicas e administrativas esperadas

Medidas técnicas (o que costuma ser cobrado/esperado)

  • Controle de acesso: menor privilégio, segregação de funções, revisão periódica de perfis, autenticação forte para perfis privilegiados.
  • Criptografia: em trânsito (TLS) e, quando aplicável, em repouso (discos, bancos, backups). Gestão de chaves com segregação e rotação.
  • Logs e trilhas de auditoria: registrar acesso, alteração, exportação e compartilhamento de dados; proteger logs contra alteração; retenção compatível com normas internas.
  • Segurança de aplicações: validação de entrada, proteção contra falhas comuns, gestão de segredos, revisão de código e testes.
  • Segurança de infraestrutura: hardening, patching, segmentação, monitoramento, backups testados, proteção contra exfiltração.
  • Ambientes: segregação entre desenvolvimento/homologação/produção; mascaramento de dados em ambientes não produtivos.

Medidas administrativas (governança operacional)

  • Políticas e normas internas: classificação da informação, uso aceitável, retenção e descarte, gestão de acessos, resposta a incidentes.
  • Gestão de terceiros: cláusulas de proteção de dados, requisitos de segurança, auditoria, suboperadores, local de armazenamento e controles de acesso do fornecedor.
  • Treinamento e conscientização: foco em manuseio de documentos, compartilhamento, e-mail, impressão, atendimento ao público.
  • Gestão de riscos e privacidade: avaliação de impacto quando necessário, análise de risco por sistema e por integração.

Incidentes de segurança e resposta sob a ótica da LGPD

O que é incidente relevante para LGPD

Incidente de segurança com dados pessoais é qualquer evento que comprometa confidencialidade, integridade ou disponibilidade de dados pessoais (ex.: vazamento, acesso indevido, ransomware, envio de documento para destinatário errado, exposição em portal, credenciais comprometidas).

Passo a passo prático de resposta a incidente (visão TI + conformidade)

  • 1) Detecção e registro inicial: abrir ticket/registro com data/hora, sistema afetado, tipo de dado, volume estimado, usuários impactados e evidências (logs, alertas).
  • 2) Contenção: revogar credenciais, isolar host, bloquear rota, retirar página do ar, desabilitar integração, aplicar regra emergencial.
  • 3) Preservação de evidências: coletar logs, imagens forenses quando aplicável, manter cadeia de custódia, evitar sobrescrita.
  • 4) Erradicação e correção: corrigir vulnerabilidade, aplicar patch, ajustar configuração, remover malware, reforçar controles.
  • 5) Avaliação de impacto: identificar categorias de dados (pessoais/sensíveis), titulares, risco de dano, possibilidade de uso indevido, extensão do acesso.
  • 6) Comunicação interna: acionar encarregado, segurança, jurídico/gestão; alinhar mensagens e orientações.
  • 7) Notificação (quando aplicável): apoiar a elaboração de informações técnicas para eventual comunicação à ANPD e aos titulares, conforme avaliação de risco e diretrizes internas.
  • 8) Lições aprendidas: atualizar controles, regras de detecção, playbooks, treinamento e documentação; registrar ações e prazos.

Registro de operações (ROPA) e inventário de dados para TI

O registro de operações (muitas vezes tratado como inventário de tratamento/ROPA) documenta como dados pessoais circulam: quais sistemas tratam, quais dados, para qual finalidade, base legal, com quem compartilha, onde armazena, por quanto tempo, e quais controles existem. Para TI, isso vira um mapa de integrações e dependências, útil também para auditoria e resposta a incidentes.

Passo a passo prático para montar um registro de operações por sistema

  • 1) Identificar o sistema e o responsável: nome, dono do processo (área demandante), equipe técnica, fornecedor (se houver).
  • 2) Mapear entradas de dados: formulários, APIs, importações, integrações com outros órgãos, uploads de documentos.
  • 3) Listar categorias de dados: cadastrais, contato, autenticação, dados processuais, documentos anexos, logs, biometria, saúde etc.
  • 4) Definir finalidade e base legal: por fluxo (ex.: intimação, autenticação, publicação, estatística).
  • 5) Mapear compartilhamentos: integrações, relatórios, exportações, e-mails automáticos, acesso por perfis externos.
  • 6) Localização e retenção: banco, storage, backups, datacenter/nuvem, prazos de guarda e descarte.
  • 7) Controles existentes: IAM, criptografia, mascaramento, logs, DLP, segregação, revisão de acesso.
  • 8) Lacunas e plano de ação: o que falta (ex.: ausência de log de exportação), prioridade, responsável e prazo.

Judiciário: particularidades de dados processuais e documentos

Dados em processos e documentos anexados

Processos e documentos podem conter grande volume de dados pessoais e sensíveis: endereços, renda, dados bancários, saúde, informações de menores, vítimas, testemunhas, medidas protetivas. Para TI, isso exige controles reforçados em:

  • Controle de acesso por perfil e por necessidade: limitar visualização/extração a quem atua no caso ou possui atribuição.
  • Segredo de justiça e restrições: garantir que marcações de sigilo reflitam em todas as camadas (aplicação, busca, APIs, cache, indexadores).
  • Publicação e transparência: evitar exposição indevida em portais; aplicar regras de anonimização/ocultação quando exigidas.
  • Indexação e pesquisa: cuidado com motores de busca internos e externos; impedir indexação pública de conteúdo sigiloso.
  • Compartilhamento e exportação: trilhas de auditoria, limites, justificativas, e controles para downloads em massa.

Sigilo e confidencialidade: traduzindo em requisitos técnicos

  • Marcação de sigilo como atributo de segurança: o “sigilo” deve ser um metadado obrigatório e propagado para documentos, eventos e APIs.
  • Políticas de autorização: regras claras (RBAC/ABAC) considerando unidade, função, vínculo ao processo, e nível de sigilo.
  • Proteção contra vazamento acidental: avisos em telas, bloqueio de envio para destinatários não autorizados, validações antes de publicar.
  • Auditoria: registrar quem acessou documento sigiloso, quando, de onde, e qual ação (visualizar, baixar, imprimir, compartilhar).

Boas práticas de adequação em projetos e sustentação

Privacy by design e by default (na prática de TI)

  • Coleta mínima: revisar campos obrigatórios; justificar cada dado coletado.
  • Configurações padrão restritivas: perfis novos com menor privilégio; compartilhamento desabilitado por padrão.
  • Mascaramento: exibir parcialmente dados em telas de atendimento quando não necessário (ex.: ocultar parte do CPF).
  • Retenção e descarte: automatizar expurgo de dados operacionais quando permitido; manter o que é obrigatório.
  • Ambientes de teste: proibir cópia de base de produção com dados reais sem anonimização/pseudonimização e autorização formal.

Checklist rápido de adequação por funcionalidade

  • Autenticação e cadastro: quais dados são indispensáveis? há política de senha/MFA? há logs de login?
  • Upload de documentos: há validação de tipo? há antivírus? há classificação de sigilo? há controle de acesso por documento?
  • Busca e indexação: respeita sigilo? impede vazamento por autocomplete, cache e APIs?
  • Relatórios e exportações: há trilha de auditoria? há limitação de volume? há justificativa e perfil autorizado?
  • Integrações (APIs): há autenticação forte, escopo, rate limit, logs, e contrato de compartilhamento?

Exercícios (classificação de dados e medidas de adequação)

Exercício 1: classifique os dados (pessoal, sensível, anonimizado ou não pessoal)

Para cada item, indique a classificação e justifique em uma frase.

  • A) Número do processo e nome completo da parte autora.
  • B) Laudo pericial com diagnóstico médico e exames anexados.
  • C) Hash irreversível de senha de usuário (armazenado com salt) associado a um login.
  • D) Endereço IP registrado em log de acesso, vinculado ao usuário autenticado.
  • E) Relatório mensal com total de processos distribuídos por comarca, sem detalhar casos, em comarcas com grande volume.
  • F) Foto usada para controle biométrico de acesso físico ao prédio.
  • G) Documento com dados bancários (agência/conta) para expedição de alvará.
  • H) Lista de e-mails funcionais (ex.: nome.sobrenome@orgao) de servidores, publicada internamente.

Exercício 2: identifique base legal e finalidade (cenários típicos)

Para cada cenário, descreva (i) finalidade, (ii) base legal mais provável, (iii) dois controles técnicos mínimos.

  • A) Envio de intimações eletrônicas para advogados e partes cadastradas.
  • B) Integração via API com outro órgão público para consulta de endereço do jurisdicionado.
  • C) Portal público de consulta processual com visualização de movimentações e documentos.
  • D) Geração de relatórios de produtividade com dados extraídos do sistema processual para gestão interna.

Exercício 3: medidas de adequação (o que você implementaria)

Leia o problema e liste medidas técnicas e administrativas.

  • A) A equipe de suporte precisa acessar bases para resolver chamados, mas há risco de visualizar dados sensíveis desnecessariamente.
  • B) Um ambiente de homologação foi criado a partir de cópia de produção contendo documentos sigilosos.
  • C) Foi identificado que usuários conseguem baixar em massa documentos de processos não sigilosos, sem trilha de auditoria detalhada.
  • D) Um erro de configuração expôs uma URL de documento que podia ser acessada sem autenticação, desde que alguém tivesse o link.

Exercício 4: mini-ROPA (registro de operações) de um módulo

Preencha os campos abaixo para um módulo hipotético de “Cadastro e Comunicação com Partes”:

  • Nome do módulo/sistema:
  • Responsável (área dona do processo):
  • Categorias de titulares:
  • Categorias de dados pessoais:
  • Dados sensíveis? quais?
  • Finalidades do tratamento:
  • Bases legais:
  • Compartilhamentos (internos/externos):
  • Armazenamento (onde):
  • Retenção e descarte:
  • Controles técnicos:
  • Controles administrativos:
  • Riscos principais e ações:

Gabarito orientativo (para autoavaliação)

Exercício 1 (orientativo): A) pessoal; B) sensível; C) dado pessoal (pois vinculado a login/conta, apesar de ser proteção de credencial); D) pessoal; E) possivelmente anonimizado (avaliar risco em comarcas pequenas); F) sensível (biométrico); G) pessoal (e pode demandar proteção reforçada); H) pessoal (identifica pessoa natural, ainda que em contexto profissional).

Exercício 2 (orientativo): em geral, finalidades ligadas à prestação do serviço público e cumprimento de atribuição legal; controles recorrentes incluem autenticação forte, autorização por perfil, criptografia em trânsito, logs/auditoria, rate limit e validação de destinatário/publicação.

Exercício 3 (orientativo): A) acesso just-in-time, perfis restritos, mascaramento, auditoria e termo de confidencialidade; B) anonimização/mascaramento, dados sintéticos, controle formal de cópias e segregação; C) logs de exportação, limites, justificativa, monitoramento e alertas; D) correção de autorização, links com expiração, autenticação obrigatória, varredura de exposição e testes.

Agora responda o exercício sobre o conteúdo:

Em um sistema processual do Judiciário, qual conjunto de ações está mais alinhado à LGPD para garantir rastreabilidade e responsabilização no tratamento de dados pessoais?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A LGPD exige evidências de prestação de contas. Para TI, isso se traduz em logs e trilhas de auditoria de ações relevantes (acesso, alteração, exportação), com proteção contra adulteração e retenção adequada, permitindo auditoria e resposta a incidentes.

Próximo capitúlo

Ética, transparência e segurança institucional para Analista Judiciário - TI: condutas e conformidade

Arrow Right Icon
Aprenda Técnico Judiciário

AprendaTécnico Judiciário

Encontre materiais preparatórios grátis para concurso técnico judiciário. Aulas e vários textos online e gratuitos para que você passe em seu concurso.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store