CNJ leva Programa Justiça +Segura ao TJMA e a 6 tribunais-piloto

O Conselho Nacional de Justiça (CNJ) apresentou ao Tribunal de Justiça do Maranhão (TJMA), em reunião técnica realizada em 29 de maio, o Programa Justiça [+Segura], política nacional de cibersegurança e governança de dados destinada ao Poder Judiciário. O TJMA integra o grupo de sete tribunais-piloto da iniciativa, escolhidos pela maturidade tecnológica, e atuará como laboratório institucional para padronização de controles, resposta a incidentes e proteção de dados pessoais nos demais ramos da Justiça.

Contexto

O Judiciário brasileiro é frequentemente apontado como um dos mais digitalizados do mundo, com tramitação eletrônica universalizada por força do art. 193 do CPC (Lei 13.105/2015) e da Lei 11.419/2006, que disciplina o processo eletrônico. Esse grau de virtualização, somado à interoperabilidade do PJe, do eproc e de plataformas correlatas, ampliou de modo expressivo a chamada superfície de ataque — expressão técnica para o conjunto de pontos por onde um sistema pode ser invadido.

Nos últimos anos, tribunais sofreram ataques de ransomware, vazamentos de dados sigilosos e indisponibilidades prolongadas. Casos notórios envolveram cortes superiores e tribunais regionais, com paralisação de serviços essenciais e exposição de informações protegidas por sigilo processual (art. 5º, LX, da CF/88) e pela Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). A resposta normativa do CNJ veio em etapas, com destaque para a Resolução CNJ 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), e para a Resolução CNJ 363/2021, que fixou requisitos de nivelamento de governança e gestão de TI.

O que foi decidido

Não se trata de decisão jurisdicional, mas de implementação administrativa de política pública judiciária. O CNJ, em parceria com o Programa das Nações Unidas para o Desenvolvimento (Pnud), definiu sete tribunais-piloto para o Justiça [+Segura]: TJMA, TJSP, TJMT, TRFs da 1ª, 3ª e 4ª Regiões e o Conselho Superior da Justiça do Trabalho (CSJT). Esses órgãos receberão eixos de trabalho e projetos que envolvem maturidade em cibersegurança, capacitação humana, governança de dados pessoais e resposta coordenada a incidentes.

Na reunião, o presidente do TJMA, desembargador Ricardo Duailibe, e o desembargador José de Ribamar Froz Sobrinho — que preside os comitês gestores de Segurança da Informação (CGSI) e de Proteção de Dados Pessoais (CGPD) do tribunal — destacaram que a prioridade não é apenas tecnológica, mas também humana. "Investir em tecnologia é essencial, mas investir nas pessoas que operam os sistemas é igualmente determinante", afirmou Froz Sobrinho. Pelo CNJ, o juiz auxiliar da Presidência Adriano Araújo lembrou que o avanço na digitalização exige resposta institucional robusta.

Base normativa e precedentes

• Art. 5º, X e LX, CF/88 — protegem intimidade, vida privada e impõem o sigilo necessário ao interesse social e à preservação da intimidade nos atos processuais.
• Art. 5º, LXXIX, CF/88 — assegura, como direito fundamental, a proteção de dados pessoais, inclusive em meios digitais (EC 115/2022).
• LGPD (Lei 13.709/2018) — impõe ao Poder Público, na qualidade de controlador, deveres de finalidade, adequação, segurança e prevenção (art. 6º), além de comunicação de incidentes à ANPD e aos titulares (art. 48).
• Marco Civil da Internet (Lei 12.965/2014) — fixa padrões de guarda de registros e responsabilidade de provedores, aplicáveis subsidiariamente.
• Lei 11.419/2006 e CPC/2015 — sustentam o processo eletrônico e a presunção de autenticidade dos atos praticados em ambiente digital.
• Resoluções CNJ 363/2021, 370/2021, 396/2021 e 522/2023 — compõem o arcabouço regulatório interno do Judiciário em TI, segurança cibernética e gestão de dados pessoais.

Impacto prático

A padronização promovida pelo Justiça [+Segura] tende a produzir efeitos concretos para diferentes atores do sistema de Justiça:

• Advocacia: maior previsibilidade na disponibilidade dos sistemas, com reflexo em prazos processuais e em pedidos de devolução previstos no art. 224, §1º, do CPC quando houver indisponibilidade certificada.
• Jurisdicionados: reforço na proteção de informações sensíveis em ações de família, criminais e trabalhistas, em que o vazamento gera dano material e moral.
• Servidores e magistrados: programas de conscientização e governança, com adoção de autenticação reforçada e segregação de acessos.
• Tribunais: definição de métricas comuns de maturidade, facilitando auditorias, contratações de TI sob a Lei 14.133/2021 e respostas coordenadas a incidentes.
• ANPD: interlocução institucional mais estruturada, já que tribunais figuram como controladores de grandes volumes de dados pessoais sensíveis.

O que observar

A execução do programa demandará monitoramento em pontos sensíveis. Primeiro, a articulação entre o CNJ e a ANPD, especialmente quanto ao alcance da fiscalização autárquica sobre o Judiciário, tema ainda debatido à luz do art. 55-K da LGPD. Segundo, a sustentabilidade orçamentária dos projetos, em cenário de teto de gastos e disputas internas por recursos de TI. Terceiro, a possibilidade de novas resoluções do CNJ uniformizando obrigações de notificação de incidentes, planos de continuidade e contratação de soluções de security operations center (SOC). Por fim, advogados e compliance officers devem acompanhar a evolução da jurisprudência sobre responsabilidade civil do Estado por vazamentos no Judiciário, tema com potencial de gerar litígios relevantes nos próximos anos.