Legislação
Nova Pesquisa
| Voltar
Enviar por e-mail |
Imprimir apenas a ficha
|
Imprimir apenas a norma
|
Imprimir a norma com a ficha
Norma: INSTRUÇÃO NORMATIVA | Órgão: Conselho Federal de Medicina |
Número: 3 | Data Emissão: 03-03-2021 |
Ementa: Institui a Política de Privacidade dos Dados das Pessoas Físicas no âmbito do Conselho Federal e nos Conselhos Regionais de Medicina. | |
Fonte de Publicação: Diário Oficial da União; República Federativa do Brasil, Seção 1, 22 mar. 2021, p. 177-178 | |
Vide: Situaçao/Correlatas (clique aqui para exibir) | |
Imprimir apenas a norma Imprimir a norma com a ficha |
CONSELHO FEDERAL DE MEDICINA INSTRUÇÃO NORMATIVA CFM Nº 3, DE 3 DE MARÇO DE 2021 Institui a Política de Privacidade dos Dados das Pessoas Físicas no âmbito do Conselho Federal e nos Conselhos Regionais de Medicina. O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições que lhe confere a Lei nº 3.268, de 30 de setembro de 1957, regulamentada pelos Decretos nº 44.045, de 19 de julho de 1958, e nº 6.821, de 14 de abril de 2009, e alterada pela Lei nº 11.000, de 15 de dezembro de 2014; e Considerando as disposições contidas na Lei 13.709/18, referente a Lei Geral de Proteção de Dados; Considerando o que dispõe a Instrução Normativa SGD/ME nº117, de 19 de novembro de 2020; Considerando os estudos realizados pela Comissão instituída pela Portaria CFM nº 77/19; Considerando serem os Conselhos de Medicina uma autarquia única, sendo os Conselhos Regionais subordinados ao Conselho Federal de Medicina, sobre tudo em questões institucionais e normativas, conforme artigos 1º e 3º da Lei 3.268/57, ressalvada a autonomia administrativa e financeira dos Conselhos Regionais de Medicina. Considerando o decidido na reunião de diretoria do dia 03/ 03/21, resolve: Art. 1º Instituir a Política de Privacidade dos Dados - PPD no âmbito do Conselho Federal e dos Conselhos Regionais de Medicina. Art. 2º A PPD estabelece princípios e normas que devem nortear o tratamento de dados pessoais, físicos e digitais, no CFM e nos CRMS, a fim de garantir a proteção da privacidade de seus titulares, bem como define papéis e diretrizes iniciais para obtenção da gradual conformidade do CFM e nos CRMs ao previsto na Lei 13.709, de 2018. Dos Conceitos Art. 3º Para o disposto nesta Instrução Normativa, considera-se: I - Política: definição de determinado objetivo da instituição e dos meios para atingi-lo; II - Programa: conjunto de mecanismos e procedimentos administrados de forma integrada, reunidos em documento único, no qual são previstas ações articuladas e dinâmicas para atingir determinado objetivo; III - Alta Administração: formada pela Administração Superior e pela Administração Executiva; IV - Administração Superior: formada pela diretoria do CFM e dos Conselhos de Medicina; V - Administração Executiva: formada pelos coordenadores e chefias do CFM e dos CRMS.; VI - Autoridade Nacional de Proteção de Dados Pessoais: órgão vinculado à Presidência da República, ao qual caberá, dentre outras atribuições, fiscalizar a aplicação da LGPD nas entidades do poder público e aplicar sanções em caso de descumprimento de suas determinações; VII - Princípio: norteamento para a atuação de conselheiros, funcionários, estagiários, terceirizados e de todos os que estabeleçam relação com o CFM e dos CRMS; VIII - Gestão de Riscos: processo contínuo e técnico que consiste no desenvolvimento de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos em potencial, capazes de comprometer o alcance dos objetivos organizacionais; IX - Público interno: conselheiros, funcionários e colaboradores (estagiários e terceirizados); X - Público externo: usuários dos serviços do CFM e nos CRMs e todos os que, de alguma forma, estabeleçam relações com a instituição; XI - Privacidade: esfera íntima ou particular do indivíduo; XII - Pessoa física: pessoa natural ou física; XIII - Titular: pessoa física a quem se referem os dados pessoais objeto de tratamento; XIV - Dado pessoal: informação relativa à pessoa física identificada ou identificável; XV - Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; XVI - Tratamento dos dados: qualquer atividade pertencente ao ciclo de vida dos dados pessoais; XVII - Ciclo de vida dos dados: todas as etapas de manuseio dos dados, desde o surgimento destes na instituição até o respectivo descarte ou o arquivamento; XVIII - Controlador: É a autoridade máxima do órgão, o que versa no Art. 5º, parágrafo VI da Lei 13.709/18, a quem competem as decisões referentes ao tratamento de dados pessoais; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) XIX - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; XX - Agentes de tratamento: o controlador e o operador; XXI - Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Dos Princípios Art. 4º Deverão ser considerados os seguintes princípios no tratamento de dados pessoais e em todas as ações relativas a ele: I - boa-fé: convicção de agir com correção e em conformidade com o Direito; II - finalidade: o tratamento dos dados deve possuir propósitos legítimos, específicos, explícitos e informados; III - adequação: o tratamento dos dados deve ser compatível com a finalidade pela qual são tratados; IV - necessidade: limitação do tratamento ao mínimo necessário para o alcance da finalidade, considerados apenas os dados pertinentes, proporcionais e não excessivos; V - livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais bem como sobre a integralidade deles; VI - qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade do respectivo tratamento; VII - transparência: garantia aos titulares de informações claras, precisas e acessíveis sobre o tratamento de seus dados pessoais e sobre os agentes de tratamento; VIII - segurança e prevenção: utilização de medidas técnicas e administrativas que garantam a proteção dos dados pessoais contra acessos não autorizados e a prevenção contra situações acidentais ou ilícitas que gerem destruição, perda, alteração, comunicação ou difusão desses dados; IX - não discriminação: vedação de realizar o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração de que os agentes de tratamento da instituição são responsáveis por este e adotam medidas eficazes para o cumprimento das normas de proteção dos dados pessoais. Do Controlador e dos Operadores de Dados Pessoais (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) Art. 5º No CFM e nos CRMs, o Controlador é a autoridade máxima do órgão, o Operador considera-se como o ocupante da alta administração e o encarregado e o que será nomeado pela alta administração que realizará a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) I - (VIDE INCLUSÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) II - (VIDE INCLUSÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) § 1º Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica. § 2º (VIDE INCLUSÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) Art. 6º No CFM e nos CRMS, os operadores adjuntos são organizados em níveis: (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) I - Nível 1: os operadores são os coordenadores, chefias e seus subordinados; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) II - Nível 2: os operadores são os supervisores e os coordenadores e os titulares dos núcleos permanentes; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) III - Nível 3: os operadores são os componentes da Administração Executiva, os secretários, os conselheiros, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística, e os eventuais terceiros que atuem através de contratos firmados com o CFM e com os CRMS. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior. Art. 7º Compete ao Controlador: (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) I - instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD; II - designar o Encarregado pelas informações relativas aos dados pessoais; III - fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais: a) o modo como serão tratados os dados pessoais no CFM e nos CRMs, a fim de que os respectivos processos sejam auditáveis; b) a aplicação da metodologia de gestão de riscos no tratamento de dados; c) a aplicação de metodologias de segurança da informação. IV - determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética; (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) V - verificar a observância das instruções e das normas sobre a matéria na instituição; VI - comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular; VII - incentivar a disseminação da cultura da privacidade de dados pessoais no CFM e nos CRMS; VIII - determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas. Art. 8º Compete aos operadores em todos os níveis: (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) I - documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais; II - proteger a privacidade dos dados pessoais desde seu ingresso na instituição; III - descrever os tipos de dados coletados; IV - utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo; V - capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade. Do Encarregado pelos Dados Pessoais Art. 9. O Controlador de cada Conselho é que nomeará o seu Encarregado pelos dados pessoais. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) Art. 10. A função de Encarregado será exercida com o apoio do operador e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e caberá ao Encarregado representá-lo perante ao Controlador e a Autoridade Nacional de Proteção de Dados. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) Art. 11. Compete ao Encarregado: I - ser o canal de comunicação entre a instituição e: a) o titular de dados pessoais; b) a Autoridade Nacional de Proteção de Dados Pessoais. II - prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais; III - determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais de cada Conselho, em conformidade com o previsto na LGDP; IV - executar as atribuições a si determinadas pelo Controlador; V - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios; VI - deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas; VII - deter conhecimentos técnicos sobre segurança e governança de dados; VIII - realizar o atendimento dos titulares de dados pessoais internos e externos à instituição; IX - manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição; X - apoiar a implementação e a manutenção de práticas de conformidade do CFM e nos CRMS à legislação sobre o tratamento dedados pessoais; XI - estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais; XII - responder incidentes no tratamento de dados pessoais. Das Normas para o Tratamento de Dados Pessoais no CFM e CRMS Art. 12. O Conselho realizará o tratamento dos dados pessoais, necessário e imprescindível à garantia do interesse público e à execução de suas funções jurisidicionais e administrativas, à luz de suas atribuições legais. Art. 13. O Consellho deverá publicar, de modo claro e atualizado, em lugar de fácil acesso e visualização em seu site, destinado à divulgação de informações sobre a privacidade de dados pessoais: I - as informações previstas na lei dos conselhos que são cartoriais, judicantes e fiscalizatórias que fundamentam a realização do tratamento de dados pessoais na instituição; II - a previsão legal, a finalidade e os procedimentos para tratamento de dados pessoais; [ III - a identificação do controlador e o contato deste; IV - o nome do encarregado e o contato deste; V - as responsabilidades dos operadores envolvidos no tratamento e os direitos do titular com menção expressa ao art. 18 da LGPD. (VIDE NOVA REDAÇÃO CONFORME INSTRUÇÃO NORMATIVA CFM Nº 11, DE 21-10-2021) Art. 14. O tratamento dos dados pessoais deverá ser realizado durante todo o ciclo de vida destes na instituição: I - acesso; II - coleta; III - avaliação: IV - classificação; V - armazenamento; VI - controle; VII - extração; VIII - comunicação; IX - distribuição: X - difusão; XI - eliminação; XII - modificação; XIII - processamento; XIV - produção; XV - recepção; XVI - reprodução; XVII - transferência; XVIII - transmissão; XIX - utilização. Das Diretrizes Art. 15. Para conformar os processos e os procedimentos dos Conselhos à Lei Geral de Proteção de Dados Pessoais, deverão ser consideradas as seguintes diretrizes: I - levantamento dos dados pessoais tratados no CFM e nos CRMS; II - mapeamento dos fluxos de dados pessoais no CFM e nos CRMS; III - verificação da conformidade do tratamento com o previsto na LGPD; IV - definição e publicação de programa de gerenciamento de riscos do tratamento de dados pessoais no CFM e nos CRMS; V - revisão e atualização da política e dos programas de segurança da informação; VI - definição de procedimentos e processos que garantam a disponibilidade, a integridade e a confidencialidade dos dados pessoais durante seu ciclo de vida; VII - definição do modo de prestar as informações sobre o tratamento de dados pessoais; VIII - revisão e adequação à LGPD dos contratos firmados no âmbito do CFM e nos CRMS; IX - revisão e adequação à LGPD dos processos e procedimentos relacionados à área de saúde do prontuário e sigilo dos pacientes; X - elaboração de Política de Tratamento de Dados Pessoais específica para dados relativos a crianças, jovens e idosos; XI - definição do ciclo de vida das informações pessoais e da necessidade de consentimento para utilização de dados pessoais na parte administrativa do CFM e nos CRMS. Das Disposições Finais Art. 16. Esta Política deverá ser revisada e aperfeiçoada permanentemente, conforme sejam implementados os respectivos programas e constatada necessidade de novas previsões para conformidade do CFM e dos CRMS à LGPD. Art. 17. As informações protegidas por sigilo continuam resguardadas pelos atos normativos a elas relacionados. Art. 18. As omissões deste ato normativo serão dirimidas pela Administração Superior do CFM e nos CRMS. Art. 19. Esta Instrução Normativa entra em vigor na data de sua aprovação. MAURO LUIZ DE BRITTO RIBEIRO DILZA TERESINHA AMBRÓS RIBEIRO |
Imprimir apenas a norma Imprimir a norma com a ficha |