CREMESP - Conselho Regional de Medicina do Estado de São Paulo

Legislação


Nova Pesquisa | Voltar
Enviar por e-mail | Imprimir apenas a ficha | Imprimir apenas a norma | Imprimir a norma com a ficha

Norma: INSTRUÇÃO NORMATIVAÓrgão: Conselho Federal de Medicina
Número: 3 Data Emissão: 03-03-2021
Ementa: Institui a Política de Privacidade dos Dados das Pessoas Físicas no âmbito do Conselho Federal e nos Conselhos Regionais de Medicina.
Fonte de Publicação: Diário Oficial da União; República Federativa do Brasil, Seção 1, 22 mar. 2021, p. 177-178
Vide: Situaçao/Correlatas (clique aqui para exibir)

Imprimir apenas a ficha


Imprimir apenas a norma
Imprimir a norma com a ficha

CONSELHO FEDERAL DE MEDICINA

INSTRUÇÃO NORMATIVA CFM Nº 3, DE 3 DE MARÇO DE 2021
Diário Oficial da União; República Federativa do Brasil, Seção 1, 22 mar. 2021, p.177-178
ALTERADA PELA INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021

Institui a Política de Privacidade dos Dados das Pessoas Físicas no âmbito do Conselho Federal e nos Conselhos Regionais de Medicina.

O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições que lhe confere a Lei nº 3.268, de 30 de setembro de 1957, regulamentada pelos Decretos nº 44.045, de 19 de julho de 1958, e nº 6.821, de 14 de abril de 2009, e alterada pela Lei nº 11.000, de 15 de dezembro de 2014; e

Considerando as disposições contidas na Lei 13.709/18, referente a Lei Geral de Proteção de Dados;

Considerando o que dispõe a Instrução Normativa SGD/ME nº117, de 19 de novembro de 2020;

Considerando os estudos realizados pela Comissão instituída pela Portaria CFM nº 77/19;

Considerando serem os Conselhos de Medicina uma autarquia única, sendo os Conselhos Regionais subordinados ao Conselho Federal de Medicina, sobre tudo em questões institucionais e normativas, conforme artigos 1º e 3º da Lei 3.268/57, ressalvada a autonomia administrativa e financeira dos Conselhos Regionais de Medicina.

Considerando o decidido na reunião de diretoria do dia 03/ 03/21, resolve:

Art. 1º Instituir a Política de Privacidade dos Dados - PPD no âmbito do Conselho Federal e dos Conselhos Regionais de Medicina.

Art. 2º A PPD estabelece princípios e normas que devem nortear o tratamento de dados pessoais, físicos e digitais, no CFM e nos CRMS, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes iniciais para obtenção da gradual conformidade do CFM e nos CRMs ao previsto na Lei 13.709, de 2018.

Dos Conceitos

Art. 3º Para o disposto nesta Instrução Normativa, considera-se:

I - Política: definição de determinado objetivo da instituição e dos meios para atingi-lo;

II - Programa: conjunto de mecanismos e procedimentos administrados de forma integrada, reunidos em documento único, no qual são previstas ações articuladas e dinâmicas para atingir determinado objetivo;

III - Alta Administração: formada pela Administração Superior e pela Administração Executiva;

IV - Administração Superior: formada pela diretoria do CFM e dos Conselhos de Medicina;

V - Administração Executiva: formada pelos coordenadores e chefias do CFM e dos CRMS.;

VI - Autoridade Nacional de Proteção de Dados Pessoais: órgão vinculado à Presidência da República, ao qual caberá, dentre outras atribuições, fiscalizar a aplicação da LGPD nas entidades do poder público e aplicar sanções em caso de descumprimento de suas determinações;

VII - Princípio: norteamento para a atuação de conselheiros, funcionários, estagiários, terceirizados e de todos os que estabeleçam relação com o CFM e dos CRMS;

VIII - Gestão de Riscos: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial, capazes de comprometer o alcance dos objetivos organizacionais;

IX - Público interno: conselheiros, funcionários e colaboradores (estagiários e terceirizados);

X - Público externo: usuários dos serviços do CFM e nos CRMs e todos os que, de alguma forma, estabeleçam relações com a instituição;

XI - Privacidade: esfera íntima ou particular do indivíduo;

XII - Pessoa física: pessoa natural ou física;

XIII - Titular: pessoa física a quem se referem os dados pessoais objeto de tratamento;

XIV - Dado pessoal: informação relativa à pessoa física identificada ou identificável;

XV - Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

XVI - Tratamento dos dados: qualquer atividade pertencente ao ciclo de vida dos dados pessoais;

XVII - Ciclo de vida dos dados: todas as etapas de manuseio dos dados, desde o surgimento destes na instituição até o respectivo descarte ou o arquivamento;

XVIII - Controlador: É a autoridade máxima do órgão, o que versa no Art. 5º, parágrafo VI da Lei 13.709/18, a quem competem as decisões referentes ao tratamento de dados pessoais; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

XIX - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

XX - Agentes de tratamento: o controlador e o operador;

XXI - Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Dos Princípios

Art. 4º Deverão ser considerados os seguintes princípios no tratamento de dados pessoais e em todas as ações relativas a ele:

I - boa-fé: convicção de agir com correção e em conformidade com o Direito;

II - finalidade: o tratamento dos dados deve possuir propósitos legítimos, específicos, explícitos e informados;

III - adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados;

IV - necessidade: limitação do tratamento ao mínimo necessário para o alcance da finalidade, considerados apenas os dados pertinentes, proporcionais e não excessivos;

V - livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais bem como sobre a integralidade deles;

VI - qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do respectivo tratamento;

VII - transparência: garantia aos titulares de informações claras, precisas e acessíveis sobre o tratamento de seus dados pessoais e sobre os agentes de tratamento;

VIII - segurança e prevenção: utilização de medidas técnicas e administrativas que garantam a proteção dos dados pessoais contra acessos não autorizados e a prevenção contra situações acidentais ou ilícitas que gerem destruição, perda, alteração, comunicação ou difusão desses dados;

IX - não discriminação: vedação de realizar o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração de que os agentes de tratamento da instituição são responsáveis por este e adotam medidas eficazes para o cumprimento das normas de proteção dos dados pessoais.

Do Controlador e dos Operadores de Dados Pessoais (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

Art. 5º No CFM e nos CRMs, o Controlador é a autoridade máxima do órgão, o Operador considera-se como o ocupante da alta administração e o encarregado e o que será nomeado pela alta administração que realizará a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

I - (VIDE INCLUSÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

II - (VIDE INCLUSÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

§ 1º Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.

§ 2º (VIDE INCLUSÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

Art. 6º No CFM e nos CRMS, os operadores adjuntos são organizados em níveis: (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

I - Nível 1: os operadores são os coordenadores, chefias e seus subordinados; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

II - Nível 2: os operadores são os supervisores e os coordenadores e os titulares dos núcleos permanentes; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

III - Nível 3: os operadores são os componentes da Administração Executiva, os secretários, os conselheiros, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística, e os eventuais terceiros que atuem através de contratos firmados com o CFM e com os CRMS. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior.

Art. 7º Compete ao Controlador: (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

I - instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD;

II - designar o Encarregado pelas informações relativas aos dados pessoais;

III - fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:

a) o modo como serão tratados os dados pessoais no CFM e nos CRMs, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados;

c) a aplicação de metodologias de segurança da informação.

IV - determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

V - verificar a observância das instruções e das normas sobre a matéria na instituição;

VI - comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;

VII - incentivar a disseminação da cultura da privacidade de dados pessoais no CFM e nos CRMS;

VIII - determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.

Art. 8º Compete aos operadores em todos os níveis: (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

I - documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;

II - proteger a privacidade dos dados pessoais desde seu ingresso na instituição;

III - descrever os tipos de dados coletados;

IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

V - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Do Encarregado pelos Dados Pessoais

Art. 9. O Controlador de cada Conselho é que nomeará o seu Encarregado pelos dados pessoais. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

Art. 10. A função de Encarregado será exercida com o apoio do operador e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e caberá ao Encarregado representá-lo perante ao Controlador e a Autoridade Nacional de Proteção de Dados. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

Art. 11. Compete ao Encarregado:

I - ser o canal de comunicação entre a instituição e:

a) o titular de dados pessoais;

b) a Autoridade Nacional de Proteção de Dados Pessoais.

II - prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;

III - determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais de cada Conselho, em conformidade com o previsto na LGDP;

IV - executar as atribuições a si determinadas pelo Controlador;

V - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;

VI - deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;

VII - deter conhecimentos técnicos sobre segurança e governança de dados;

VIII - realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;

IX - manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;

X - apoiar a implementação e a manutenção de práticas de conformidade do CFM e nos CRMS à legislação sobre o tratamento dedados pessoais;

XI - estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;

XII - responder incidentes no tratamento de dados pessoais.

Das Normas para o Tratamento de Dados Pessoais no CFM e CRMS

Art. 12. O Conselho realizará o tratamento dos dados pessoais, necessário e imprescindível à garantia do interesse público e à execução de suas funções jurisidicionais e administrativas, à luz de suas atribuições legais.

Art. 13. O Consellho deverá publicar, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu site, destinado à divulgação de informações sobre a privacidade de dados pessoais:

I - as informações previstas na lei dos conselhos que são cartoriais, judicantes e fiscalizatórias que fundamentam a realização do tratamento de dados pessoais na instituição;

II - a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais; [

III - a identificação do controlador e o contato deste;

IV - o nome do encarregado e o contato deste;

V - as responsabilidades dos operadores envolvidos no tratamento e os direitos do titular com menção expressa ao art. 18 da LGPD. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021)

Art. 14. O tratamento dos dados pessoais deverá ser realizado durante todo o ciclo de vida destes na instituição:

I - acesso;

II - coleta;

III - avaliação:

IV - classificação;

V - armazenamento;

VI - controle;

VII - extração;

VIII - comunicação;

IX - distribuição:

X - difusão;

XI - eliminação;

XII - modificação;

XIII - processamento;

XIV - produção;

XV - recepção;

XVI - reprodução;

XVII - transferência;

XVIII - transmissão;

XIX - utilização.

Das Diretrizes

Art. 15. Para conformar os processos e os procedimentos dos Conselhos à Lei Geral de Proteção de Dados Pessoais, deverão ser consideradas as seguintes diretrizes:

I - levantamento dos dados pessoais tratados no CFM e nos CRMS;

II - mapeamento dos fluxos de dados pessoais no CFM e nos CRMS;

III - verificação da conformidade do tratamento com o previsto na LGPD;

IV - definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no CFM e nos CRMS;

V - revisão e atualização da política e dos programas de segurança da informação;

VI - definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais durante seu ciclo de vida;

VII - definição do modo de prestar as informações sobre o tratamento de dados pessoais;

VIII - revisão e adequação à LGPD dos contratos firmados no âmbito do CFM e nos CRMS;

IX - revisão e adequação à LGPD dos processos e procedimentos relacionados à área de saúde do prontuário e sigilo dos pacientes;

X - elaboração de Política de Tratamento de Dados Pessoais específica para dados relativos a crianças, jovens e idosos;

XI - definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na parte administrativa do CFM e nos CRMS.

Das Disposições Finais

Art. 16. Esta Política deverá ser revisada e aperfeiçoada permanentemente, conforme sejam implementados os respectivos programas e constatada necessidade de novas previsões para conformidade do CFM e dos CRMS à LGPD.

Art. 17. As informações protegidas por sigilo continuam resguardadas pelos atos normativos a elas relacionados.

Art. 18. As omissões deste ato normativo serão dirimidas pela Administração Superior do CFM e nos CRMS.

Art. 19. Esta Instrução Normativa entra em vigor na data de sua aprovação.

MAURO LUIZ DE BRITTO RIBEIRO
Presidente do Conselho

DILZA TERESINHA AMBRÓS RIBEIRO
Secretária-Geral

Imprimir apenas a norma
Imprimir a norma com a ficha

CONSELHO REGIONAL DE MEDICINA DO ESTADO DE SÃO PAULO
CNPJ: 63.106.843/0001-97

Sede: Rua Frei Caneca, 1282
Consolação - São Paulo/SP - CEP 01307-002

CENTRAL DE ATENDIMENTO TELEFÔNICO
(11) 4349-9900 (de segunda a sexta feira, das 8h às 20h)

HORÁRIO DE EXPEDIENTE PARA PROTOCOLOS
De segunda a sexta-feira, das 9h às 18h

CONTATOS

Regionais do Cremesp:

Conselhos de Medicina:


© 2001-2024 cremesp.org.br Todos os direitos reservados. Código de conduta online. 370 usuários on-line - 6
Este site é melhor visualizado em Internet Explorer 8 ou superior, Firefox 40 ou superior e Chrome 46 ou superior

O CREMESP utiliza cookies, armazenados apenas em caráter temporário, a fim de obter estatísticas para aprimorar a experiência do usuário. A navegação no site implica concordância com esse procedimento, em linha com a Política de Cookies do CREMESP. Saiba mais em nossa Política de Privacidade e Proteção de Dados.