A Instrução Normativa CFM nº 3, do Conselho Federal de Medicina, foi publicada no Diário Oficial da União no dia 3 de março de 2021 e visa instituir a Política de Privacidade dos Dados das Pessoas Físicas (PPD) no âmbito do Conselho Federal e nos Conselhos Regionais de Medicina.
A Instrução Normativa CFM nº 3 está embasada na Lei 13.709/2018 (Lei Geral de Proteção de Dados) e busca atualizar a sua legislação e evitar infrações aos princípios relacionados à Privacidade. Para isso, foram definidos princípios e normas que devem nortear o tratamento de dados pessoais, físicos e digitais, no CFM e nos CRMS e garantir a proteção da privacidade de seus titulares.
Para que ocorra o devido tratamento de dados, a Instrução Normativa CFM nº 3/2021 segue princípios baseados na LGPD, como é o caso da boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência segurança e prevenção, não discriminação e responsabilização e prestação de contas, sendo estes os alicerces essenciais para as operações e tratamentos de dados pessoais. O Art. 2° da Instrução Normativa, esclarece sobre a finalidade dos princípios:
Art. 2º A PPD estabelece princípios e normas que devem nortear o tratamento de dados pessoais, físicos e digitais, no CFM e nos CRMs, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes iniciais para obtenção da gradual conformidade do CFM e nos CRMs ao previsto na Lei 13.709, de 2018.
Instrução Normativa CFM nº 3/2021: Funções e Responsabilidades do Controlador, Operador e Encarregado
A Instrução Normativa CFM nº 3/2021 estabelece quem deve assumir o papel de Controlador e de Operador no CFM e também nos CRMs. Segundo ela, devem ser considerados que o Controlador é a autoridade máxima do órgão, enquanto o Operador deve ser ocupante da alta administração. Já o Encarregado deverá ser nomeado pela alta administração e será responsável pela comunicação entre a Autoridade Nacional de Proteção de Dados (ANPD) e o Controlador.
Compete ao Controlador instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD. Ele será o responsável por designar o Encarregado pelas informações relativas aos dados pessoais e fornecer as instruções para a política de governança dos dados pessoais e respectivos programas.
Além disso, o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais deve ser composto por uma equipe técnica multidisciplinar, sendo de suma importância a integração de profissionais ligados as áreas jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos e de gestão documental e estratégica.
Do Controlador e dos Operadores de Dados Pessoais
Art. 5º No CFM e nos CRMs, o controlador é a autoridade máxima do órgão, o operador considera-se como o ocupante da alta administração e o encarregado é o que será nomeado pela alta administração que realizará a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador.
§ 1º Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.
Para o Operador será designado a documentação das operações durante o processo de tratamento de dados pessoais, pensando em proteger os dados desde o seu ingresso na instituição. Ademais seu papel será decisivo no que compete a descrição dos tipos de dados coletados e metodologias utilizadas. Outro ponto importante será a sua capacitação para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.
Já o Encarregado pelos Dados Pessoais, nomeado pelo Controlador de cada conselho, terá como uma das responsabilidades, ser o canal de comunicação entre a instituição, o titular de dados pessoais e a ANPD. Sua função deverá ser exercida com o apoio do Operador e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais. Veja outras competências do Encarregado:
Art. 11. Compete ao Encarregado:
I – ser o canal de comunicação entre a instituição e:
a) o titular de dados pessoais;
b) a Autoridade Nacional de Proteção de Dados Pessoais.
II – prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;
III – determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais de cada Conselho, em conformidade com o previsto na LGDP;
IV – executar as atribuições a si determinadas pelo Controlador;
V – receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
VI – deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;
VII – deter conhecimentos técnicos sobre segurança e governança de dados;
VIII – realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;
IX – manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;
X – apoiar a implementação e a manutenção de práticas de conformidade do CFM e nos CRMS à legislação sobre o tratamento de dados pessoais;
XI – estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII – responder incidentes no tratamento de dados pessoais.
Por fim, será necessário que cada Conselho publique, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu site, destinado à divulgação de informações sobre a privacidade de dados pessoais relativos às informações previstas na lei dos conselhos, assim como procedimentos dos tratamento de dados pessoais, identificação do controlador, assim como o nome do encarregado e as devidas responsabilidades dos operadores envolvidos no tratamento.
Leia a Instrução Normativa na íntegra.
Para Assessoria Para Adequação à LGPD, contate nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria GDPR ou LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
Conheça nossos Serviços em Privacidade e Proteção de Dados e Compliance Digital:
- Assessoria para Mapeamento de Dados (Data Mapping)
- Assessoria para Mapeamento de Legislação Setorial
- Análise Regulatória da Coleta de Dados
- Revisão e Elaboração de Políticas de Privacidade
- Assessoria de Implementação de Garantia e Direitos de Usuários
- Revisão e Adequação de Contratos
- Assessoria jurídica para realização de transferência internacional de dados
- Política de Segurança da Informação (PSI)
- Plano de Respostas a Incidentes
- Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment)
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.
