Setor Público14 min de leitura

LGPD para Tribunais e Poder Judiciário: Dados Processuais, PJe e Conformidade

Equipe Confidata·
Compartilhar

O Poder Judiciário brasileiro trata volumes enormes de dados pessoais — e muitos deles são sensíveis. Cada processo judicial contém nomes, CPFs, endereços, dados financeiros e, frequentemente, informações de saúde, dados de crianças e adolescentes, registros criminais e detalhes íntimos da vida das partes. Com a digitalização acelerada pela implantação do PJe (Processo Judicial Eletrônico) e outros sistemas, esses dados passaram a circular em ambiente digital em escala sem precedente.

A LGPD se aplica integralmente ao Poder Judiciário. A Resolução CNJ nº 363, de 12 de janeiro de 2021, estabeleceu as medidas que os tribunais devem adotar para se adequar à Lei 13.709/2018. Este guia traduz essas obrigações em ações práticas para gestores, encarregados e equipes de TI de tribunais.

Dados processuais são dados pessoais?

Sim — e em volume significativo. Um processo judicial contém, no mínimo:

  • Dados de identificação: nome completo, CPF, RG, endereço, filiação, estado civil
  • Dados financeiros: renda, patrimônio, dívidas, contas bancárias (em execuções, inventários, divórcios)
  • Dados sensíveis de saúde: laudos médicos, CIDs, atestados (em processos previdenciários, trabalhistas, de família)
  • Dados de crianças e adolescentes: em varas de família, infância e juventude, socioeducativas
  • Dados criminais: antecedentes, inquéritos, laudos periciais (em varas criminais)
  • Dados de origem racial, convicção religiosa, opinião política: em processos de discriminação, crimes de ódio

Todos esses dados estão sujeitos à LGPD. O fato de estarem em autos processuais não os exclui da proteção legal — pelo contrário, a concentração de dados sensíveis em um único sistema (como o PJe) exige medidas de segurança proporcionais ao risco.

A Resolução CNJ 363/2021: o marco regulatório interno

A Resolução CNJ nº 363/2021 é o normativo central que disciplina a implementação da LGPD no Poder Judiciário. Suas principais determinações incluem:

Comitê Gestor de Proteção de Dados Pessoais (CGPD)

O Art. 1º, I da Resolução determina a criação do CGPD em cada tribunal — um órgão colegiado de composição multidisciplinar responsável por conduzir o processo de adequação à LGPD. O comitê deve reunir representantes de áreas como TI, jurídica, administrativa e de gestão de pessoas.

Designação do encarregado de dados

A Resolução exige que cada tribunal designe um encarregado pelo tratamento de dados pessoais, nos termos do Art. 41 da LGPD. Na prática, os tribunais têm nomeado servidores com formação jurídica e conhecimento em proteção de dados, frequentemente vinculados à área de governança ou compliance.

Grupo de trabalho multidisciplinar

Além do CGPD, a Resolução prevê a formação de grupo de trabalho para auxiliar o encarregado, com membros capacitados em LGPD e normas correlatas. A capacitação pode ser promovida pelas escolas judiciais dos respectivos tribunais.

Portal de LGPD e transparência

Cada tribunal deve disponibilizar um portal na internet com informações sobre a aplicação da LGPD, incluindo a identidade do encarregado, canais de atendimento ao titular e a política de privacidade institucional.

Mapeamento e plano de ação

A Resolução recomenda que o processo de adequação inclua, no mínimo: (1) mapeamento de todas as atividades de tratamento de dados pessoais; (2) avaliação de vulnerabilidades (gap assessment); e (3) elaboração de plano de ação (roadmap) com prazos e responsáveis.

Publicidade processual vs. proteção de dados: o equilíbrio necessário

O princípio da publicidade dos atos processuais (Art. 5º, LX da Constituição Federal e Art. 11 do CPC) é pilar do Estado Democrático de Direito. Mas esse princípio entra em tensão direta com a proteção de dados pessoais quando processos eletrônicos tornam informações acessíveis a qualquer pessoa com acesso à internet.

O que é público e o que deve ser protegido

Dados que permanecem públicos:

  • Nome das partes (em processos não sigilosos)
  • Movimentações processuais
  • Decisões e sentenças
  • Data de distribuição, vara, classe processual

Dados que exigem proteção ou restrição de acesso:

  • CPF, RG, endereço completo das partes
  • Dados bancários e financeiros detalhados
  • Laudos médicos e dados de saúde
  • Dados de crianças e adolescentes
  • Informações de vítimas de violência doméstica e sexual

Segredo de justiça como mecanismo de proteção

O CPC (Art. 189) já prevê o segredo de justiça para processos que envolvam direito de família, dados protegidos pelo direito constitucional à intimidade e processos em que constem dados sensíveis. A LGPD reforça essa proteção ao exigir que dados sensíveis recebam tratamento diferenciado.

O desafio está nos processos que não tramitam em segredo de justiça mas contêm dados pessoais relevantes. Nesses casos, a técnica de pseudonimização — identificar as partes apenas por iniciais em decisões e atos publicados — é a prática mais difundida nos tribunais brasileiros.

Consulta pública de processos: dados pessoais acessíveis a qualquer pessoa

Os portais de consulta processual dos tribunais (e-SAJ, PJe, PROJUDI) permitem que qualquer pessoa consulte andamentos e, em muitos casos, acesse petições e documentos dos autos. Isso gera riscos concretos:

  • Documentos com CPF, endereço e dados bancários ficam acessíveis
  • Laudos médicos em processos não sigilosos podem ser visualizados
  • Dados de testemunhas ficam expostos

A solução não é eliminar a publicidade, mas aplicar controles: tarjar dados pessoais em documentos publicados, restringir acesso a peças com dados sensíveis e implementar autenticação para consulta de autos digitais completos.

PJe e sistemas judiciais: quem é o controlador dos dados

O PJe (Processo Judicial Eletrônico) é o sistema de tramitação processual desenvolvido pelo CNJ e adotado por grande parte dos tribunais brasileiros. Para fins de LGPD:

  • O tribunal é o controlador dos dados pessoais contidos nos processos — ele define as finalidades e os meios do tratamento
  • O CNJ é controlador dos dados tratados no âmbito do próprio Conselho e co-responsável pela governança do sistema PJe
  • Fornecedores de sistemas (quando o tribunal usa sistemas próprios ou de terceiros) atuam como operadores e devem formalizar DPA (Data Processing Agreement)

Controle de acesso no PJe

O PJe já implementa níveis de acesso diferenciados:

  • Magistrado: acesso completo aos autos de sua competência
  • Servidor: acesso conforme lotação e atribuição
  • Advogado: acesso aos processos em que está habilitado
  • Parte: acesso aos seus próprios processos
  • Público: acesso a dados processuais básicos (em processos não sigilosos)

O desafio é garantir que esses níveis sejam efetivamente cumpridos — e que acessos indevidos sejam detectados e registrados em logs de auditoria.

Anonimização de dados em jurisprudência publicada

Quando decisões judiciais são publicadas em repositórios de jurisprudência (sites dos tribunais, bases como JusBrasil), dados pessoais das partes ficam acessíveis e indexáveis por motores de busca. Isso pode perpetuar a exposição de informações sensíveis por tempo indefinido.

Boas práticas de anonimização

  1. Substituir nomes por iniciais nas ementas e acórdãos publicados
  2. Tarjar CPFs, RGs e endereços em documentos anexos
  3. Omitir CIDs e diagnósticos em decisões publicadas de processos previdenciários e trabalhistas
  4. Excluir dados de menores integralmente de publicações
  5. Revisar indexação: solicitar a motores de busca a remoção de páginas com dados pessoais indevidos

O desafio técnico é significativo — acervos de jurisprudência com milhões de decisões já publicadas contêm dados pessoais que, idealmente, deveriam ser anonimizados retroativamente.

DPO em tribunais: perfil e nomeação

Quem deve ser o encarregado

O encarregado de dados em tribunal deve ter:

  • Conhecimento jurídico (direito processual, constitucional, administrativo)
  • Conhecimento em proteção de dados e LGPD
  • Independência funcional para exercer o cargo sem conflito de interesse
  • Acesso direto à administração do tribunal

Quem NÃO deve ser o encarregado

  • Diretor de TI: conflito de interesse — TI é responsável pelos sistemas que tratam dados, não pode fiscalizar a si mesmo
  • Ouvidor: a ouvidoria trata reclamações de jurisdicionados, o encarregado trata de proteção de dados — funções distintas
  • Juiz em atividade jurisdicional: a função judicante e a função de encarregado são incompatíveis

Modelo de nomeação

A nomeação deve ser formalizada por ato administrativo (portaria da presidência do tribunal), publicada no Diário da Justiça Eletrônico e comunicada à ANPD. O encarregado deve ter seus dados de contato disponíveis no portal de LGPD do tribunal.

Tratamento de dados em varas especializadas

Varas de família e infância

Tratam dados de crianças e adolescentes (Art. 14 da LGPD) e dados de contexto familiar (violência doméstica, alienação parental, guarda). Esses dados exigem:

  • Segredo de justiça obrigatório
  • Controle de acesso restrito a magistrado, servidor designado e partes
  • Proibição de compartilhamento fora do contexto processual

Varas criminais e de execução penal

Tratam dados de réus, vítimas e testemunhas. Dados de vítimas de violência sexual e de testemunhas protegidas exigem medidas de segurança reforçadas — vazamento pode colocar vidas em risco.

Varas do trabalho e previdenciárias

Concentram laudos médicos, dados de saúde ocupacional, CIDs e informações sobre incapacidade. A publicação de decisões sem anonimização adequada pode expor dados de saúde de trabalhadores.

Programa de conscientização e treinamento

A Resolução CNJ 363/2021 prevê programas de conscientização sobre LGPD para servidores e colaboradores. Na prática, isso deve incluir:

  • Treinamento obrigatório para todos os servidores que tratam dados pessoais
  • Capacitação específica para servidores de cartório (que manuseiam autos diariamente)
  • Orientação a estagiários e terceirizados sobre confidencialidade
  • Simulações de incidentes para equipes de TI e segurança da informação

Contratos com fornecedores e operadores

Tribunais contratam diversos fornecedores que acessam dados pessoais:

  • Empresas de digitalização de autos
  • Fornecedores de sistemas de gestão processual
  • Empresas de cloud computing (armazenamento de autos digitais)
  • Prestadores de serviço de TI (manutenção, suporte)
  • Empresas de transcrição e degravação

Cada um desses fornecedores é, potencialmente, um operador nos termos da LGPD. É necessário:

Checklist de conformidade para tribunais

  • CGPD (Comitê Gestor de Proteção de Dados) criado e atuante, conforme Resolução CNJ 363/2021
  • Encarregado de dados designado por portaria e comunicado à ANPD
  • Portal de LGPD no site do tribunal com política de privacidade e canal do titular
  • Mapeamento completo das atividades de tratamento de dados pessoais (ROPA)
  • Avaliação de vulnerabilidades (gap assessment) realizada
  • Plano de ação (roadmap) com prazos e responsáveis
  • Controles de acesso ao PJe e sistemas internos revisados e documentados
  • Logs de auditoria de acesso a dados processuais implementados
  • Pseudonimização aplicada em decisões publicadas em repositórios de jurisprudência
  • DPAs formalizados com todos os fornecedores que acessam dados pessoais
  • Programa de conscientização e treinamento em LGPD para servidores
  • Política de retenção e eliminação de dados definida e documentada
  • Plano de resposta a incidentes de segurança com dados pessoais implementado
  • Procedimento para atendimento a direitos dos titulares estabelecido
  • Segredo de justiça aplicado em processos com dados sensíveis conforme Art. 189 do CPC

Conclusão

O Poder Judiciário enfrenta um desafio peculiar: equilibrar o princípio constitucional da publicidade processual com a proteção de dados pessoais exigida pela LGPD. A Resolução CNJ 363/2021 oferece o roteiro — mas a implementação efetiva depende de cada tribunal.

Os dados em processos judiciais são, frequentemente, os mais sensíveis que existem sobre uma pessoa: sua saúde, suas finanças, seus conflitos familiares, seu passado criminal. A exposição indevida desses dados causa danos reais e, em muitos casos, irreversíveis. Tribunais que tratam a conformidade com a LGPD como prioridade protegem não apenas os jurisdicionados, mas a própria credibilidade da instituição.

O caminho é claro: CGPD atuante, encarregado capacitado, controles técnicos no PJe, anonimização em jurisprudência publicada e cultura de proteção de dados entre servidores. A adequação à LGPD no setor público não é opcional — é obrigação legal e compromisso com os direitos fundamentais dos cidadãos.

A Confidata oferece funcionalidades específicas para o setor público: registro de atividades de tratamento com classificação de dados sensíveis, gestão de solicitações de titulares com controle de prazos legais e geração de RIPD — ferramentas que auxiliam tribunais a documentar e evidenciar sua conformidade com a LGPD e a Resolução CNJ 363/2021.

Compartilhar
#LGPD#Poder Judiciário#tribunal#dados processuais#PJe#CNJ#proteção de dados

Artigos relacionados

LGPD para Defensoria Pública e Ministério Público: Dados de Populações VulneráveisSetor Público · 13 minCláusulas LGPD em Licitações: Modelos Prontos para a Lei 14.133/2021Setor Público · 13 minLGPD para Conselhos Profissionais (CRM, OAB, CRC, CREA): Guia de AdequaçãoSetor Público · 13 minAuditoria do TCU sobre LGPD em Órgãos Públicos: Guia Prático de AdequaçãoSetor Público · 15 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista