Publicador de Conteúdos e Mídias

RESOLUÇÃO CFC Nº 1.626, DE 19 DE AGOSTO DE 2021

Brasão do Brasil

Diário Oficial da União

Publicado em: 27/08/2021 | Edição: 163 | Seção: 1 | Página: 135

Órgão: Entidades de Fiscalização do Exercício das Profissões Liberais/Conselho Federal de Contabilidade

RESOLUÇÃO CFC Nº 1.626, DE 19 DE AGOSTO DE 2021

Institui a Política Interna de Proteção de Dados Pessoais do Conselho Federal de Contabilidade.

O CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições legais e regimentais,

Considerando a Lei n.º 13.709, de 14 de agosto de 2018, que trata da Lei Geral de Proteção de Dados Pessoais;

Considerando a necessidade de estabelecer diretrizes para o tratamento interno de dados pessoais no âmbito do CFC, a fim de atender aos dispositivos e estar em conformidade com a Lei Geral de Proteção de Dados Pessoais; resolve:

CAPÍTULO I

DA POLÍTICA E DEFINIÇÕES

Art. 1º Fica instituída a Política Interna de Proteção de Dados Pessoais do Conselho Federal de Contabilidade (CFC).

Art. 2º Para os efeitos desta resolução, entende-se por:

I. Dado pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável. Isso significa que um dado é considerado pessoal quando permite a identificação direta ou indireta da pessoa natural.

II. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

III. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

IV. Tratamento: toda a operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transparência, difusão ou extração.

V. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

VI. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No caso desta política, o CFC.

VII. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

VIII. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

IX. Relatório de impacto à proteção de dados pessoais: documento de comunicação e transparência que orienta a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

CAPÍTULO II

DO OBJETIVO E PRINCÍPIOS

Art. 3º A Política Interna de Proteção de Dados Pessoais do CFC tem por objetivo orientar a todos os operadores acerca das boas práticas em proteção de dados pessoais, a fim propiciar conformidade com a Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD).

Art. 4º São princípios norteadores da LGPD e desta Política Interna:

I. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

II. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

III. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

IV. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

V. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

VI. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

VII. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

VIII. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

IX. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

X. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO III

DA RESPONSABILIDADE E DO TRATAMENTO DE DADOS PESSOAIS

Art. 5º A responsabilidade pelo correto tratamento dos dados pessoais dentro do CFC é compartilhada entre todos aqueles que atuam como operadores, necessitando da cooperação dos envolvidos para o atendimento aos dispositivos legais e segurança dos dados pessoais sob seu controle.

Art. 6º O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo, conforme disposto no art. 42 e seguintes da LGPD.

Art. 7º O tratamento dos dados pessoais no CFC deve seguir os princípios definidos nesta política, devendo ser estritamente voltado às finalidades às quais a coleta dos dados se destina, respeitando os critérios de compartilhamento e de segurança das informações.

Art. 8º Os dados pessoais devem ser manipulados apenas por pessoas que precisem lidar com eles, reduzindo, assim, os riscos de falhas humanas propiciarem um vazamento ou uso inadequado da informação.

Art. 9º Os dados serão identificados por setores e/ou por responsabilidades específicas dentro de cada unidade operacional, a fim de possibilitar conhecer, em cada situação, quem são os operadores dos dados, reduzindo os riscos de um incidente na segurança da informação.

Art.10 O acesso de cada empregado ou prestador de serviço ao banco de dados do CFC é individual e protegido por senha própria e intransferível, garantindo o tratamento setorizado dos dados a pessoas autorizadas.

Art. 11 O único tratamento admitido para dados pessoais contidos nos resíduos eletrônicos gerenciados pelo CFC é a eliminação.

Parágrafo único. Para garantir que nenhum dos dados que eventualmente estejam armazenados nos dispositivos que o CFC gerencia sejam utilizados indevidamente, todos serão destruídos em conformidade com a legislação arquivística vigente que trata sobre a matéria.

Art. 12 O acesso dos empregados e prestadores de serviço do CFC aos materiais e às informações contidas no sistema informatizado é restrito de acordo com a autorização determinada para cada colaborador, conforme definido na Política de Controle de Acesso Lógico do CFC.

CAPÍTULO IV

DOS CRITÉRIOS ESTABELECIDOS

Seção I

Para a coleta dos dados pessoais

Art. 13 As informações referentes às pessoas físicas somente devem ser coletadas na medida da necessidade para a prestação de serviços, para atendimento ao cumprimento das hipóteses cabíveis no art. 7º da LGPD.

Art. 14 O consentimento, quando necessário, é requerido ao solicitar os dados que forem de pessoas físicas, por meio do aceite no campo apropriado em sistema ou por meio de assinatura de termo apropriado dos empregados, estagiários, colaboradores, prestadores de serviços e CRCs.

Seção II

Para a armazenagem dos dados pessoais

Art. 15 Quando armazenados fisicamente, os dados devem ficar em local protegido por tranca, fora do alcance de outras pessoas que não as expressamente autorizadas a acessá-los.

Art. 16 Quando armazenados digitalmente, devem ficar em pasta protegida por criptografia ou restrição de acesso por senha pessoal.

Art. 17 Eventuais cópias de dados pessoais somente devem ser feitas, em caso de necessidade, para cumprimento da finalidade proposta ao tratamento dos dados.

Seção III

Para o compartilhamento interno e externo de dados pessoais

Art. 18 Os dados pessoais somente podem ser compartilhados internamente entre as unidades organizacionais cuja função exija acesso e tenha a finalidade ou a obrigação legal para o tratamento dessas informações.

Art. 19 O compartilhamento de dados pessoais com pessoa natural ou jurídica, de direito público ou privado, externas ao CFC deve ser restrito ao mínimo necessário para a execução do tratamento em cumprimento de obrigação legal.

Parágrafo único. Mesmo quando o tratamento envolver diretamente a prestação de serviços, o consentimento para este tratamento e compartilhamento deverá ter sido previamente obtido, quando cabível.

Art. 20 É vedado o compartilhamento externo de dados pessoais por qualquer meio, telefônico, digital ou por escrito, não amparado em base legal.

Seção IV

Para a eliminação dos dados pessoais.

Art. 21 Quando atingida sua finalidade, os dados pessoais que não precisam ser armazenados para atendimento a exigências legais, deverão ser eliminados, física e digitalmente, com a comunicação dessa eliminação ao titular, nos casos em que essa se dê de maneira diversa à prevista na legislação arquivística vigente ou no termo de consentimento aplicável.

CAPÍTULO V

DO ENCARREGADO E DA PRESTAÇÃO DE INFORMAÇÕES

Art. 22 O Encarregado da Proteção de Dados Pessoais será o responsável pela comunicação entre os titulares, o CFC e a ANPD, conforme disposto na legislação vigente.

Art. 23 As atividades do Encarregado consistem, conforme o art. 41 da LGPD, em:

I. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II. receber comunicações da autoridade nacional e adotar providências;

III. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Art. 24 A solicitação quanto à prestação de informações sobre dados pessoais deverá ser encaminhada ao Encarregado da Proteção de Dados Pessoais do CFC, para que este promova a resposta ao titular dos dados.

Art. 25 As informações requeridas pelo titular deverão ser sempre evidenciadas de forma transparente, resguardando o sigilo quando aplicável.

Art. 26 Quaisquer questionamentos surgidos acerca da proteção de dados pessoais deverão ser levados ao Encarregado para que este possa orientar de imediato o operador ou buscar junto à ANPD e demais entidades especializadas uma orientação adequada ao questionamento levantado.

Art. 27 O Encarregado da Proteção de Dados Pessoais manterá relatório de avaliação de riscos e impactos à proteção de dados pessoais, por meio do qual as medidas necessárias à segurança da informação de dados pessoais poderão ser estruturadas, implementadas e avaliadas.

Art. 28 O Encarregado da Proteção de Dados Pessoais do CFC estará disponível pelo e-mail dpo@cfc.org.br

Art. 29 Esta resolução entra em vigor em 1º de setembro de 2021.

ZULMIR IVÂNIO BREDA

Presidente do Conselho

Este conteúdo não substitui o publicado na versão certificada.

Borda do rodapé
Logo da Imprensa