A Instrução Normativa CFM Nº 03/2021

MODIFICADA
Instrução Normativa CFM Nº 011/2021

Do Controlador e dos Operadores de Dados Pessoais

Art. 5° No sistema do Conselho Médico, assim configuram-se os agentes de tratamento de dados pessoais: (Modificado pela IN CFM nº 011/2021)
I - Controladores: o Conselho Federal de Medicina e os Conselhos Regionais de Medicina, no exercício de suas atribuições; (Incluído pela IN CFM nº 011/2021)
II- Operadores de Dados Pessoais: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Conselho Federal de Medicina e/ou dos Conselhos Regionais de Medicina e sob suas diretrizes; (Incluído pela IN CFM nº 011/2021)
§ 1º Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.
§ 2° O Conselho Federal de Medicina, assim como os Conselhos Regionais de Medicina deverão nomear, cada um, Encarregado que ficará responsável pela comunicação entre a Autoridade Nacional de Proteção de Dados e o Controlador, assim como pelas demais atribuições previstas na Lei n. 13.709/2018. (Incluído pela IN CFM nº 011/2021) 

Art. 6° No CFM e nos CRMS, os responsáveis pelos tratamentos de dados pessoais são organizados nos seguintes níveis: (Modificado pela IN CFM nº 011/2021)
I - Nível 1: os coordenadores, as chefias e seus subordinados; (Modificado pela IN CFM nº 011/2021)
II- Nível 2: os supervisores e os coordenadores e os titulares dos núcleos permanentes;(Modificado pela IN CFM nº 011/2021)
III-Nível 3: os componentes da Administração Executiva, os secretários, os conselheiros, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística, e os eventuais terceiros que atuem através de contratos firmados com o CFM e com os CRMS. (Modificado pela IN CFM nº 011/2021)
Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior. 

Art. 7° Compete ao órgão diretivo do Conselho Federal de Medicina e dos Conselhos
Regionais de Medicina, na forma de seus regimentos internos: (Modificado pela IN CFM nº 011/2021)
I- instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD;
II- designar o Encarregado pelas informações relativas aos dados pessoais;
III- fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:
a) o modo como serão tratados os dados pessoais no CFM e nos CRMs, a fim de que os respectivos processos sejam auditáveis;
b) a aplicação da metodologia de gestão de riscos no tratamento de dados;
c) a aplicação de metodologias de segurança da informação.
IV- determinar a capacitação dos responsáveis pelos tratamentos de dados pessoais, para que atuem com responsabilidade, critério e ética; (Modificado pela IN CFM nº 011/2021)
V — verificar a observância das instruções e das normas sobre a matéria na instituição;
VI — comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;
VII — incentivar a disseminação da cultura da privacidade de dados pessoais no CFM e nos CRMS;
VIII — determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas

Art. 8° Compete aos responsáveis pelos tratamentos de dados pessoais em todos os níveis: (Modificado pela IN CFM nº 011/2021)
I- documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;
II- proteger a privacidade dos dados pessoais desde seu ingresso na instituição;
III- descrever os tipos de dados coletados;
IV- utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V- capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Do Encarregado pelos Dados Pessoais

Art. 9°. O órgão diretivo de cada Conselho, na forma de seu regimento interno, nomeará o seu Encarregado pelos dados pessoais. (Modificado pela IN CFM nº 011/2021)

Art. 10. A função de Encarregado será exercida com o apoio do órgão diretivo de cada Conselho e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais, cabendo ao Encarregado representar o Controlador perante a Autoridade Nacional de Proteção de Dados, além das demais atribuições previstas em Lei. (Modificado pela IN CFM nº 011/2021)

Art. 11. Compete ao Encarregado:
I- ser o canal de comunicação entre a instituição e:
a) O titular de dados pessoais;
b) A Autoridade Nacional de Proteção de Dados Pessoais.
II- prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;
III- determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais de cada Conselho, em conformidade com o previsto na LGDP;
IV - executar as atribuições a si determinadas pelo Controlador;
V - receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
VI - deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;
VII - deter conhecimentos técnicos sobre segurança e governança de dados;
VIII- realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;
IX- manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;
X- apoiar a implementação e a manutenção de práticas de conformidade do CFM e nos CRMS à legislação sobre o tratamento dedados pessoais;
XI- estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII- responder incidentes no tratamento de dados pessoais.

No CRM-TO, a função de Encarregado será exercida por Dr Wesley Monteiro de Castro Neri – encarregado.crmto@gmail.com, designado por meio da Portaria CRM-TO nº 41/2021.