A Instrução Normativa CFM Nº 03/2021, dispõe:
Art. 5o No CFM e nos CRMs, o Controlador é a autoridade máxima do órgão, o Operador considera-se como o ocupante da alta administração e o encarregado e o que será nomeado pela alta administração que realizará a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador.
§ 1o Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.
Art. 6o No CFM e nos CRMS, os operadores adjuntos são organizados em níveis:
I – Nível 1: os operadores são os coordenadores, chefias e seus subordinados;
II – Nível 2: os operadores são os supervisores e os coordenadores e os titulares dos núcleos permanentes;
III – Nível 3: os operadores são os componentes da Administração Executiva, os secretários, os conselheiros, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística, e os eventuais terceiros que atuem através de contratos firmados com o CFM e com os CRMS.
Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior.
Art. 7o Compete ao Controlador:
I – instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD;
II – designar o Encarregado pelas informações relativas aos dados pessoais;
III – fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:
a) o modo como serão tratados os dados pessoais no CFM e nos CRMs, a fim de que os respectivos processos sejam auditáveis;
b) a aplicação da metodologia de gestão de riscos no tratamento de dados;
c) a aplicação de metodologias de segurança da informação.
IV – determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética;
V – verificar a observância das instruções e das normas sobre a matéria na instituição;
VI – comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;
VII – incentivar a disseminação da cultura da privacidade de dados pessoais no CFM e nos CRMS;
VIII – determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.
Art. 8o Compete aos operadores em todos os níveis:
I – documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;
II – proteger a privacidade dos dados pessoais desde seu ingresso na instituição;
III – descrever os tipos de dados coletados;
IV – utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V – capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.
Do Encarregado pelos Dados Pessoais
A Instrução Normativa CFM Nº 03/2021, dispõe:
Art. 9. O Controlador de cada Conselho é que nomeará o seu Encarregado pelos dados pessoais.
Art. 10. A função de Encarregado será exercida com o apoio do operador e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e caberá ao Encarregado representá-lo perante ao Controlador e a Autoridade Nacional de Proteção de Dados.
Art. 11. Compete ao Encarregado:
I – ser o canal de comunicação entre a instituição e:
a) o titular de dados pessoais;
b) a Autoridade Nacional de Proteção de Dados Pessoais.
II – prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem
tomadas para garantir a proteção dos dados pessoais;
III – determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais de cada Conselho, em conformidade com o previsto na LGDP;
IV – executar as atribuições a si determinadas pelo Controlador;
V – receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
VI – deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;
VII – deter conhecimentos técnicos sobre segurança e governança de dados;
VIII – realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;
IX – manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;
X – apoiar a implementação e a manutenção de práticas de conformidade do CFM e nos CRMS à legislação sobre o tratamento dedados pessoais;
XI – estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII – responder incidentes no tratamento de dados pessoais.