CONSELHO FEDERAL DE MEDICINA PUBLICA INSTRUÇÃO NORMATIVA PREOCUPANTE SOBRE PRIVACIDADE DE DADOS

26 Mar CONSELHO FEDERAL DE MEDICINA PUBLICA INSTRUÇÃO NORMATIVA PREOCUPANTE SOBRE PRIVACIDADE DE DADOS

Seguindo a mesma linha de alguns tribunais, como o TJSP e o TST, hoje (22.3), foi publicada, a Instrução Normativa CFM nº 3 (“IN 3”) que institui a Política de Privacidade dos Dados (“PPD”) das Pessoas Físicas no âmbito do Conselho Federal (“CFM”) e dos Conselhos Regionais de Medicina (“CRM”).

A PPD visa estabelecer princípios e normas que deverão nortear o tratamento de dados pessoais, em formatos físicos e digitais, no CFM e nos CRMs, a fim de garantir a proteção da privacidade de titulares de dados, bem como definir papéis e diretrizes iniciais para obtenção da gradual de conformidade do CFM e dos CRMs aos termos e condições previsto na Lei Geral de Proteção de Dados (“LGPD”).

Assim como em Políticas de Privacidades de outros órgãos públicos, a IN 3 definiu que o Controlador no âmbito do CFM e dos CRMs será a autoridade máxima do órgão; e considera-se o Operador o ocupante da alta administração do órgão, ou seja, os empregados do CFM e dos CRMs. Estas definições chamam a atenção, pois estão em desacordo com os próprios termos estabelecidos no artigo 3º, XVIII e XIX da IN 3 (que estão baseados na LGPD) e da própria LGPD.

Ainda, o CFM parece fazer uma confusão entre os conceitos de Controlador e Encarregado, uma vez que ao analisar as competências do Controlador previstas no artigo 7º da IN 3 encontram-se atribuições que de acordo com os termos da LGPD são competências do Encarregado de Proteção de Dados, a saber:

(i) Instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD;

(ii) fornecer as instruções para a política de governança dos dados pessoais e respectivos programas;

(iii) verificar a observância das instruções e das normas sobre a matéria na instituição;

(iv) comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular; e

(v) incentivar a disseminação da cultura da privacidade de dados pessoais no CFM e nos CRMs.

Diante desse cenário preocupante, entende-se pela necessidade de intervenção imediata da ANPD para auxiliar a administração pública na definição destes conceitos básico e evitar a reprodução equívoca, evitando-se criar uma atmosfera jurídica em que a própria aplicação da LGPD seja impossível.

A IN 3 entrou em vigor na data de sua aprovação e pode ser acessada na íntegra aqui.

Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener & Vieira Advogados.