A Instrução Normativa CFM Nº 03/2021
MODIFICADA
Instrução Normativa CFM Nº 011/2021
Do Controlador e dos Operadores de Dados Pessoais
Art. 5° No sistema do Conselho Médico, assim configuram-se os agentes de tratamento de dados pessoais: (Modificado pela IN CFM nº 011/2021)
I - Controladores: o Conselho Federal de Medicina e os Conselhos Regionais de Medicina, no exercício de suas atribuições; (Incluído pela IN CFM nº 011/2021)
II- Operadores de Dados Pessoais: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Conselho Federal de Medicina e/ou dos Conselhos Regionais de Medicina e sob suas diretrizes; (Incluído pela IN CFM nº 011/2021)
§ 1º Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.
§ 2° O Conselho Federal de Medicina, assim como os Conselhos Regionais de Medicina deverão nomear, cada um, Encarregado que ficará responsável pela comunicação entre a Autoridade Nacional de Proteção de Dados e o Controlador, assim como pelas demais atribuições previstas na Lei n. 13.709/2018. (Incluído pela IN CFM nº 011/2021)
Art. 6° No CFM e nos CRMS, os responsáveis pelos tratamentos de dados pessoais são organizados nos seguintes níveis: (Modificado pela IN CFM nº 011/2021)
I - Nível 1: os coordenadores, as chefias e seus subordinados; (Modificado pela IN CFM nº 011/2021)
II- Nível 2: os supervisores e os coordenadores e os titulares dos núcleos permanentes;(Modificado pela IN CFM nº 011/2021)
III-Nível 3: os componentes da Administração Executiva, os secretários, os conselheiros, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística, e os eventuais terceiros que atuem através de contratos firmados com o CFM e com os CRMS. (Modificado pela IN CFM nº 011/2021)
Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior.
Art. 7° Compete ao órgão diretivo do Conselho Federal de Medicina e dos Conselhos
Regionais de Medicina, na forma de seus regimentos internos: (Modificado pela IN CFM nº 011/2021)
I- instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD;
II- designar o Encarregado pelas informações relativas aos dados pessoais;
III- fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:
a) o modo como serão tratados os dados pessoais no CFM e nos CRMs, a fim de que os respectivos processos sejam auditáveis;
b) a aplicação da metodologia de gestão de riscos no tratamento de dados;
c) a aplicação de metodologias de segurança da informação.
IV- determinar a capacitação dos responsáveis pelos tratamentos de dados pessoais, para que atuem com responsabilidade, critério e ética; (Modificado pela IN CFM nº 011/2021)
V — verificar a observância das instruções e das normas sobre a matéria na instituição;
VI — comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;
VII — incentivar a disseminação da cultura da privacidade de dados pessoais no CFM e nos CRMS;
VIII — determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas
Art. 8° Compete aos responsáveis pelos tratamentos de dados pessoais em todos os níveis: (Modificado pela IN CFM nº 011/2021)
I- documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;
II- proteger a privacidade dos dados pessoais desde seu ingresso na instituição;
III- descrever os tipos de dados coletados;
IV- utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V- capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.
Do Encarregado pelos Dados Pessoais
Art. 9°. O órgão diretivo de cada Conselho, na forma de seu regimento interno, nomeará o seu Encarregado pelos dados pessoais. (Modificado pela IN CFM nº 011/2021)
Art. 10. A função de Encarregado será exercida com o apoio do órgão diretivo de cada Conselho e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais, cabendo ao Encarregado representar o Controlador perante a Autoridade Nacional de Proteção de Dados, além das demais atribuições previstas em Lei. (Modificado pela IN CFM nº 011/2021)
Art. 11. Compete ao Encarregado:
I- ser o canal de comunicação entre a instituição e:
a) O titular de dados pessoais;
b) A Autoridade Nacional de Proteção de Dados Pessoais.
II- prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;
III- determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais de cada Conselho, em conformidade com o previsto na LGDP;
IV - executar as atribuições a si determinadas pelo Controlador;
V - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
VI - deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;
VII - deter conhecimentos técnicos sobre segurança e governança de dados;
VIII- realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;
IX- manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;
X- apoiar a implementação e a manutenção de práticas de conformidade do CFM e nos CRMS à legislação sobre o tratamento dedados pessoais;
XI- estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII- responder incidentes no tratamento de dados pessoais.
Conforme Portaria CFM N° 138 de 14 de Agosto de 2024, publicizada na Seção 2 do Diário Oficial da União N° 197, publicado em quinta-feira, 10 de outubro de 2024, o Presidente do Conselho Federal de Medicina resolve:
Art. 1° Designar o funcionário ARMANDO RODRIGUES ALVES, matrícula 369, como Encarregado pelo Tratamento de Dados Pessoais da Lei de Proteção de Dados (LGPD) no âmbito do Conselho Federal de Medicina;
Art. 2° Designar o funcionário JOÃO PAULO SIMÕES DA SILVA ROCHA, matrícula 307, como suplente do Encarregado pelo Tratamento de Dados Pessoais da Lei de Proteção de Dados (LGPD) no âmbito do Conselho Federal de Medicina.