A Instrução Normativa CRM-ES Nº 01/2022, dispõe:
Art. 5º- No CRM-ES, o Controlador é a autoridade máxima do órgão, o Operador considera-se como o ocupante da alta administração e o encarregado é o que será nomeado pela alta administração que realizará a comunicação entre a Autoridade Nacional de Proteção de Dados e o controlador.
§ 1º- Deverá ser instituído um Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais para prestar suporte aos trabalhos da LGPD que será formado por uma equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.
Art. 6º- No CRM-ES, os operadores adjuntos são organizados em níveis:
I- Nível 1: os operadores são os Funcionários do CRM-ES;
lI- Nível 2: os operadores são a Gerência Administrativa, os Coordenadores e as Chefias do CRM-ES;
IlI- Nível 3: os operadores são os componentes da Administração Superior, Conselheiros, Coordenadores e Diretores responsáveis pela pela gestão finalística, e os eventuais terceiros que atuem através de contratos firmados com o CRM-ES.
Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a revisão do fluxo dos dados realizado por um nível pelo nível imediatamente superior.
Art. 7º- Compete ao Controlador:
I- instituir o Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e definir as respectivas atribuições com base na LGPD;
lI- designar o Encarregado pelas informações relativas aos dados pessoais;
IlI- fornecer as instruções para a política de governança dos dados pessoais e respectivos programas, dentre as quais:
a) o modo como serão tratados os dados pessoais no CRM-ES, a fim de que os respectivos processos sejam auditáveis;
b) a aplicação da metodologia de gestão de riscos no tratamento de dados;
c) a aplicação de metodologias de segurança da informação.
IV- determinar a capacitação dos operadores, para que atuem com responsabilidade, critério e ética;
V- verificar a observância das instruções e das normas sobre a matéria na instituição;
VI- comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular;
VII- incentivar a disseminação da cultura da privacidade de dados pessoais no CRM-ES;
VIII- determinar a permanente atualização desta Política e o desenvolvimento dos respectivos programas.
Art. 8º- Compete aos operadores em todos os níveis:
I- documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais;
lI- proteger a privacidade dos dados pessoais desde seu ingresso na instituição;
IlI- descrever os tipos de dados coletados;
IV- utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo;
V- capacitar-se para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.
Do Encarregado pelos Dados Pessoais
Art. 9. O Controlador de cada Conselho é que nomeará o seu Encarregado pelos dados pessoais.
Art. 10. A função de Encarregado será exercida com o apoio do operador e do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais e caberá ao Encarregado representá-lo perante ao Controlador e a Autoridade Nacional de Proteção de Dados.
Art. 11. Compete ao Encarregado:
I- ser o canal de comunicação entre a instituição e:
a) o titular de dados pessoais;
b) a Autoridade Nacional de Proteção de Dados Pessoais.
lI- prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;
IlI- determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais do Conselho, em conformidade com o previsto na LGDP;
IV- executar as atribuições a si determinadas pelo Controlador;
V- receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
VI- deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;
VII- deter conhecimentos técnicos sobre segurança e governança de dados;
VIII- realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;
IX- manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;
X- apoiar a implementação e a manutenção de práticas de conformidade do CRM-ES à legislação sobre o tratamento dedados pessoais;
XI- estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII - responder incidentes no tratamento de dados pessoais.
No CRM-ES, a função de Encarregado será exercida por Josiane Faustino Pianca – This email address is being protected from spambots. You need JavaScript enabled to view it.This email address is being protected from spambots. You need JavaScript enabled to view it., designado por meio da Portaria CRM-ES N° SEI 63/2023.