A Instrução Normativa CRM-ES Nº 01/2022,  dispõe:

Art. 5º- No CRM-ES, o Controlador é a autoridade máxima do órgão, o Operador considera-se como o ocupante da alta administração e o encarregado é o que será nomeado pela alta administração que realizará a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador.

§ 1º- Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.

Art. 6º- No CRM-ES, os operadores adjuntos são organizados em níveis:

I- Nível 1: os operadores são os Funcionários do CRM-ES;

lI- Nível 2: os operadores são a Gerência Administrativa, os Coordenadores e as Chefias do CRM-ES;

IlI- Nível 3: os operadores são os componentes da Administração Superior, Conselheiros, Coordenadores e Diretores responsáveis pela pela gestão finalística, e os eventuais terceiros que atuem através de contratos firmados com o CRM-ES.

Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior.

Art. 7º- Compete ao Controlador:

I- instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD;

lI- designar o Encarregado pelas informações relativas aos dados pessoais;

IlI- fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:

a) o modo como serão tratados os dados pessoais no CRM-ES, a fim de que os respectivos processos sejam auditáveis;

b) a aplicação da metodologia de gestão de riscos no tratamento de dados;

c) a aplicação de metodologias de segurança da informação.

IV- determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética;

V- verificar a observância das instruções e das normas sobre a matéria na instituição;

VI- comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;

VII- incentivar a disseminação da cultura da privacidade de dados pessoais no CRM-ES;

VIII- determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.

Art. 8º- Compete aos operadores em todos os níveis:

I- documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;

lI- proteger a privacidade dos dados pessoais desde seu ingresso na instituição;

IlI- descrever os tipos de dados coletados;

IV- utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;

V- capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.

Do Encarregado pelos Dados Pessoais

Art. 9. O Controlador de cada Conselho é que nomeará o seu Encarregado pelos dados pessoais.

Art. 10. A função de Encarregado será exercida com o apoio do operador e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e caberá ao Encarregado representá-lo perante ao Controlador e a Autoridade Nacional de Proteção de Dados.

Art. 11. Compete ao Encarregado:

I- ser o canal de comunicação entre a instituição e:

a) o titular de dados pessoais;

b) a Autoridade Nacional de Proteção de Dados Pessoais.

lI- prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;

IlI- determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais do Conselho, em conformidade com o previsto na LGDP;

IV- executar as atribuições a si determinadas pelo Controlador;

V- receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;

VI- deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;

VII- deter conhecimentos técnicos sobre segurança e governança de dados;

VIII- realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;

IX- manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;

X- apoiar a implementação e a manutenção de práticas de conformidade do CRM-ES à legislação sobre o tratamento dedados pessoais;

XI- estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;

XII - responder incidentes no tratamento de dados pessoais.

No CRM-ES, a função de Encarregado será exercida por Josiane Faustino Pianca – This email address is being protected from spambots. You need JavaScript enabled to view it., designado por meio da Portaria CRM-ES nº 1200/2021.