Carregando conteúdo...

Conteúdo do normativo

Acompanhe o teor completo e faça o download dos anexos disponíveis.

DECISÃO NORMATIVA Nº 124, DE 26 DE FEVEREIRO DE 2026

 

  

Institui a Política de Privacidade e Proteção de Dados Pessoais do Sistema Confea/Crea e Mútua.

CONSELHO FEDERAL DE ENGENHARIA E AGRONOMIA – CONFEA, no uso das atribuições que lhe confere o art. 3º, inciso I, do Regimento do Confea, aprovado pela Resolução nº 1.015, de 30 de junho de 2006,

DECIDE:

Art. 1º Instituir a Política de Privacidade e Proteção de Dados Pessoais do Sistema Confea/Crea e Mútua.

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 2º A presente Política adota definições uniformes para garantir coerência interpretativa em todo o Sistema Confea/Crea e Mútua, considerando a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI), a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), as normas da Agência Nacional de Proteção de Dados (ANPD) e as melhores práticas de governança de dados.

Art. 3º A presente Política estabelece princípios, diretrizes, responsabilidades, estruturas de governança e instrumentos operacionais para o tratamento de dados pessoais no âmbito do Sistema Confea/Crea e Mútua.

Parágrafo único. Os termos e princípios utilizados nesta Política são definidos no glossário constante do Anexo desta Decisão Normativa.

Art. 4º As disposições desta Política aplicam-se ao Conselho Federal de Engenharia e Agronomia (Confea), aos Conselhos Regionais de Engenharia e Agronomia (Creas), à Mútua, às entidades vinculadas e a todos os agentes públicos, visitantes, consultores externos, estagiários, menores aprendizes, prestadores de serviços e demais terceiros que, de qualquer modo, realizem tratamento de dados pessoais em nome ou sob orientação do Sistema Confea/Crea e Mútua, independentemente do nível hierárquico ou da função exercida.

Art. 5º O tratamento de dados pessoais no âmbito do Sistema Confea/Crea e Mútua observará as competências legais das entidades, as responsabilidades definidas nesta Política e as disposições da legislação aplicável.

§ 1º O Confea, os Creas e a Mútua, no âmbito de suas competências legais, atuam como controladores de dados pessoais, por definirem as finalidades e os meios de tratamento, enquanto terceiros contratados para execução de atividades em nome dessas entidades atuam como operadores.

§ 2º Dados públicos não se confundem com dados pessoais tornados públicos, os quais permanecem protegidos pela LGPD e normas específicas, devendo ser observadas para fins de tratamento.

§3º Esta política se aplica a todo tratamento de dados pessoais e dados pessoais sensíveis realizados nas atividades administrativas, fiscalizatórias, normativas, regulatórias, de transparência e prestação de serviços.

CAPÍTULO II

DOS PRINCÍPIOS E DIRETRIZES

Art. 6º O tratamento de dados pessoais realizado no âmbito do Confea, Creas e Mútua, deverá observar:

I – os princípios do art. 6º da LGPD (finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e responsabilização);

II – o princípio da privacidade desde a concepção e por padrão (privacy by design e privacy by default), nos termos das diretrizes adotadas pela ANPD; e

III – a harmonização entre transparência pública e proteção de dados pessoais, tal como previsto no Plano de Dados Abertos do Sistema Confea/Crea, e o princípio da prevalência da proteção de dados pessoais em caso de conflito direto com a transparência pública, mediante análise de ponderação.

Parágrafo único. A aplicação da LGPD não autoriza a supressão da publicidade de atos administrativos nem a anonimização automática de interessados em processos administrativos sancionadores quando houver obrigação legal de divulgação.

CAPÍTULO III

DO TRATAMENTO DE DADOS PESSOAIS

Art. 7º O tratamento de dados pessoais no Sistema Confea/Crea e Mútua será realizado para finalidades legítimas, vinculadas ao exercício de suas competências legais, como:

I – normatização, registro e fiscalização do exercício profissional;

II – gestão administrativa, financeira e de pessoal;

III – atendimento ao cidadão e aos profissionais registrados;

IV – transparência ativa e passiva;

V – execução do Plano de Dados Abertos, observados os limites da LGPD; e

VI – promoção de eventos, relacionamento e treinamentos entre profissionais, empresas e administração pública.

Art. 8º O tratamento se baseará nas hipóteses legais previstas na LGPD, com destaque para o seu art. 23.

Parágrafo único. O uso de legítimo interesse deverá ser excepcional, devidamente justificado e registrado em documento de Avaliação de Legítimo Interesse (LIA - Legitimate Interest Assessment), conforme orientações da ANPD.

Art. 9º Todos os tratamentos deverão ser registrados em Registro das Operações de Tratamento de Dados (ROPA).

Art. 10. O compartilhamento de dados pessoais pelo Sistema Confea/Crea e Mútua deverá observar:

I – a finalidade específica e compatível;

II – a base legal aplicável;

III – o registro em ROPA;

IV – a avaliação de risco; e

V – o contrato, convênio ou instrumento formal que defina responsabilidades.

Art. 11. A transferência internacional de dados somente ocorrerá nas hipóteses legais, mediante avaliação prévia do DPO e observância das diretrizes da ANPD.

Art. 12. O Sistema Confea/Crea e Mútua adotará diretrizes para a retenção, o arquivamento e a eliminação de documentos e dados, em conformidade com as normas do Arquivo Nacional, os Regulamentos de Gestão Documental, a LGPD, bem como as demais exigências legais aplicáveis.

Parágrafo único. Para fins de cumprimento do disposto no caput, deverão ser observadas as disposições da Portaria do Arquivo Nacional nº 398, de 25 de novembro de 2019, ou outra que venha a substituí-la.

Art. 13. Contratos com fornecedores, prestadores de serviços, desenvolvedores ou consultorias deverão conter cláusulas específicas de proteção de dados pessoais.

Art. 14. O tratamento de cookies, metadados e dados de navegação será disciplinado em Aviso de Privacidade próprio, disponibilizado no portal institucional.

CAPÍTULO IV

DOS DADOS ABERTOS E PROTEÇÃO DE DADOS PESSOAIS

Art. 15. A abertura de dados no Sistema Confea/Crea e Mútua deverá observar:

I – a avaliação prévia de riscos à privacidade;

II – a anonimização ou pseudonimização sempre que possível;

III – a redução de dados pessoais divulgados; e

IV – o alinhamento com o Plano de Dados Abertos do Sistema Confea/Crea, de modo a prever a compatibilização entre transparência e proteção de dados pessoais.

Parágrafo único. Bases massivas ou sensíveis deverão possuir Relatório de Impacto à Proteção de Dados (RIPD).

Art. 16. É vedada a divulgação de dados pessoais, sejam eles sensíveis ou não, ou de informações que comprometam direitos fundamentais dos titulares, salvo nas hipóteses legais expressas.

CAPÍTULO V

DOS DIREITOS DOS TITULARES

Art. 17. O Sistema Confea/Crea e Mútua garantirá aos titulares o exercício dos direitos previstos no art. 18 da LGPD, observadas as hipóteses legais, a finalidade pública do tratamento, o interesse público, o dever de publicidade e o devido processo legal, tais como:

I – a confirmação da existência do tratamento;

II – o acesso aos dados;

III – a correção;

IV – a anonimização, bloqueio ou eliminação;

V – a informação sobre compartilhamentos; e

VI – a revogação do consentimento, quando aplicável.

Art. 18. Os pedidos apresentados pelos titulares de dados deverão ser direcionados ao Encarregado pelo Tratamento Dados Pessoais por meio do canal oficial de comunicação disponibilizado para o exercício de seus direitos, assegurando-se atendimento gratuito, em conformidade com as diretrizes da ANPD.

CAPÍTULO VI

DA SEGURANÇA DA INFORMAÇÃO E INCIDENTES

Art. 19. O Relatório de Impacto à Proteção de Dados - RIPD deverá ser elaborado sempre que o tratamento puder gerar alto risco aos direitos dos titulares, inspirado no modelo adotado pela própria ANPD em sua Política Interna.

Art. 20. O Sistema Confea/Crea e Mútua adotará medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, incidentes de segurança da informação com dados pessoais, destruição ou perda.

Art. 21. Em caso de incidente de segurança, o fato deverá ser comunicado imediatamente ao Encarregado pelo Tratamento de Dados Pessoais, que avaliará a necessidade de comunicação à ANPD e aos titulares, conforme a LGPD e regulamentações específicas.

Art. 22. Todo e qualquer incidente de dados que envolva risco relevante ou danos a eventual titular de dados deverá ser comunicado ao Confea, no mesmo prazo estabelecido na LGPD e eventual regulamentação da ANPD.

CAPÍTULO VII

DA GOVERNANÇA E DAS RESPONSABILIDADES

Art. 23. Ficam estabelecidas as seguintes responsabilidades mínimas:

I – Apoiar e promover o apoio institucional necessário ao fortalecimento contínuo do Programa de Governança em Privacidade e Proteção de Dados Pessoais;

II – Responder e monitorar as requisições de titulares de dados e da ANPD;

III – Assegurar que as operações de tratamento de dados estejam em conformidade; e

IV – Cumprir integralmente esta Política e reportar incidentes.

Art. 24. O Sistema Confea/Crea e Mútua deverá adotar, implementar, manter e continuamente aprimorar medidas técnicas e administrativas compatíveis com o grau de risco das operações e com as exigências da LGPD e das normas da ANPD, visando à segurança dos dados pessoais e das informações institucionais e à prevenção de acessos não autorizados, incidentes de segurança da informação com dados pessoais, modificação indevida, destruição acidental ou qualquer forma de uso inadequado.

§ 1º Observados a abordagem baseada em risco, a proporcionalidade, a capacidade institucional e o planejamento orçamentário de cada ente, recomenda-se, como referência mínima, a adoção de medidas técnicas que contemplem soluções tecnológicas destinadas a:

I – detecção, prevenção e resposta a incidentes de segurança;

II – proteção avançada de endpoints, servidores, redes e ativos críticos;

III – gerenciamento de identidades, credenciais e acessos privilegiados;

IV – análise de vulnerabilidades, correções, atualizações e hardening;

V – criptografia, tokenização ou pseudonimização de dados em repouso e em trânsito;

VI – monitoramento contínuo, registro de logs e observabilidade de segurança;

VII – proteção de aplicações, bancos de dados e ambientes em nuvem; e

VIII – prevenção contra perda, vazamento ou exfiltração de dados.

§ 2º Cada ente do Sistema Confea/Crea e Mútua deve adotar as medidas necessárias para garantir a proteção de dados pessoais.

§ 3º O Confea poderá estabelecer diretrizes e referenciais mínimos de segurança, bem como recomendar ou apoiar a adoção de boas práticas e padrões técnicos, visando à uniformidade e redução dos riscos no Sistema Confea/Crea e Mútua.

Art. 25. O Confea poderá promover ações de capacitação, treinamento e conscientização em proteção de dados, privacidade e segurança da informação.

§ 1º As ações compreenderão:

I – programas permanentes de conscientização em segurança da informação;

II – campanhas educativas regulares sobre boas práticas, prevenção a fraudes, golpes e engenharia social;

III – trilhas de capacitação e certificação para diferentes perfis de usuários;

IV – simulações periódicas de phishing, ataques e cenários de resposta a incidentes;

V – conteúdos e materiais educativos distribuídos em todos os canais institucionais; e

VI – treinamentos específicos para gestores, operadores de sistemas, equipes de Tecnologia da Informação, fiscais e encarregados.

§ 2º Cada ente do Sistema Confea/Crea e Mútua deve implementar e manter programas equivalentes de conscientização e segurança da informação, garantindo padronização mínima, periodicidade e alinhamento às diretrizes estabelecidas pelo Confea e às normas da ANPD.

§ 3º O Confea poderá disponibilizar conteúdos, plataformas, campanhas e materiais institucionais para uso pelos entes do Sistema Confea/Crea e Mútua.

Art. 26. Cada ente do Sistema Confea/Crea e Mútua deverá nomear formalmente um Encarregado pelo Tratamento de Dados Pessoais e instituir estrutura administrativa, tecnológica e operacional capaz de garantir a implementação contínua das medidas de privacidade, segurança da informação e proteção de dados pessoais.

Parágrafo único. A estrutura de que trata o caput deverá contemplar, no mínimo, mecanismos de gestão de riscos, controles de acesso, ferramentas tecnológicas de segurança, procedimentos de resposta a incidentes e canais de atendimento aos titulares de dados.

Art. 27. Compete aos entes do Sistema Confea/Crea e Mútua assegurar a execução desta Política, adotar e manter as medidas administrativas, processuais e tecnológicas necessárias, garantir a capacitação contínua de agentes públicos e dirigentes e implementar tempestivamente as recomendações e orientações emitidas pelo Confea, em alinhamento com a cultura Data Driven.

Parágrafo único. A implementação de soluções de segurança e proteção de dados pessoais constitui requisito indispensável ao cumprimento da LGPD e à prevenção de riscos institucionais.

Art. 28. Os Creas e a Mútua deverão instituir e manter programas de governança de dados pessoais compatíveis com os princípios, diretrizes e requisitos mínimos estabelecidos nesta Política, em consonância com a legislação aplicável e com as normas e orientações da ANPD.

Art. 29. O Confea poderá orientar os Creas e a Mútua para a implementação e aperfeiçoamento de seus programas de governança de dados pessoais, podendo expedir normas complementares, modelos referenciais, guias e orientações, a fim de promover a uniformidade mínima de práticas no Sistema Confea/Crea e Mútua.

Art. 30. Com a finalidade de zelar pela observância desta Política e pelo nível mínimo de conformidade exigido, o Confea poderá realizar avaliações, auditorias, inspeções, verificações documentais ou solicitações de informações aos Creas e à Mútua, especialmente quanto aos procedimentos de tratamento, registro das operações, controles implementados e mecanismos de mitigação de riscos.

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

Art. 31. Esta Política constitui referência para todo o Sistema Confea/Crea e Mútua, podendo ser detalhada e adaptada pelos Creas e pela Mútua, desde que não haja contradição com seus termos.

Art. 32. Esta Política deverá ser revisada periodicamente, sempre que houver alterações relevantes na legislação ou nas normas da ANPD.

Art. 33. Esta decisão normativa entra em vigor 60 (sessenta) dias após a data de sua publicação.

 

Eng. Telecom. Vinicius Marchese Marinelli

Presidente

 

 

 

ANEXO

GLOSSÁRIO

Anonimização: Processo que remove a possibilidade de identificação do titular, de forma irreversível, nos termos da ANPD.

Agência Nacional de Proteção de Dados – ANPD: Agência reguladora integrante da administração pública federal responsável por assegurar a proteção de dados pessoais no país. Compete à ANPD regulamentar, fiscalizar e supervisionar a aplicação da LGPD; editar normas, guias e diretrizes; orientar agentes de tratamento e titulares; promover a cultura de privacidade; além de instaurar processos administrativos e aplicar sanções em caso de infrações.

Base Legal ou Hipótese de Tratamento: Fundamento jurídico previsto na LGPD que autoriza o tratamento de dados pessoais pelo agente de tratamento que figura como “Controlador”, no caso, o Sistema Confea/Crea e Mútua, especialmente nos termos dos arts. 7, 11 e 23 da lei.

Controlador do dado: Agente responsável pelas decisões referentes ao tratamento dos dados. Cada órgão do Sistema Confea/Crea e Mútua figura como controlador independente, no exercício de suas competências legais.

Operador: Agente que realiza o tratamento de dados pessoais em nome do controlador.

Dados Pessoais: Informação relativa à pessoa natural identificada ou identificável.

Dados Pessoais Sensíveis: Informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, dados genéticos ou biométricos, vida sexual ou qualquer dado que possa gerar discriminação.

Dado Pessoal de Acesso Público: Informação pessoal cuja publicidade decorre de previsão legal, decisão judicial ou determinação específica, não eliminando a necessidade de tratamento proporcional e compatível com a finalidade.

Dado Pessoal Tornado Público pelo Titular: Informação que se refere ao titular e que foi disponibilizada por ele mesmo de forma voluntária, mas que permanece sujeita à LGPD quanto às demais operações de tratamento.

Data Driven: abordagem de tomada de decisão fundamentada na coleta, análise e interpretação de dados relevantes e quantificáveis, permitindo identificar tendências, prever cenários futuros e adotar respostas proativas diante das mudanças do mercado.

Encarregado pelo Tratamento de Dados Pessoais – DPO (Data Protection Officer): Pessoa indicada pelo Confea, pelo Crea, pela Mútua, ou por entidade vinculada para atuar como canal de comunicação entre o Sistema e os titulares dos dados, o Sistema e a ANPD e o Sistema e demais agentes de tratamento. Compete ao DPO orientar, recomendar, monitorar e supervisionar o cumprimento da LGPD e das diretrizes desta Política.

Entidades vinculadas: Organizações, entidades de classe, fundações ou demais instituições que mantenham relação institucional com o Sistema Confea/Crea e Mútua e tratem dados pessoais no exercício de suas atividades.

Incidente de Segurança com Dados Pessoais: Qualquer evento adverso, confirmado ou sob suspeita, que resulte em acesso não autorizado, vazamento, destruição, perda, alteração indevida ou qualquer forma de uso inadequado de dados pessoais.

Medidas Técnicas e Administrativas: Conjunto de controles, políticas, procedimentos, ferramentas e práticas organizacionais adotadas para garantir a proteção dos dados pessoais, incluindo controle de acesso, criptografia, gestão de perfis, logs, backups, classificação da informação e treinamento.

Plano de Dados Abertos (PDA): Documento que orienta a política de disponibilização de dados pelo Sistema Confea/Crea e Mútua, alinhando transparência, governança de dados e proteção de dados pessoais.

Prestador de Serviços / Fornecedores: Pessoa física ou jurídica contratada ou conveniada que realize atividades, operações ou suporte técnico que envolvam o acesso, a coleta, o armazenamento, a transmissão, o compartilhamento ou qualquer forma de tratamento de dados pessoais em nome do Confea, dos Creas, da Mútua ou de entidades vinculadas. Abrange operadores, suboperadores, desenvolvedores de sistemas e consultorias.

Princípio da Adequação: As operações de tratamento devem ser compatíveis com as finalidades informadas ao titular e alinhadas às expectativas legítimas decorrentes da relação do cidadão ou profissional com o Sistema Confea/Crea e Mútua.

Princípio da Finalidade: O tratamento de dados pessoais no âmbito do Sistema Confea/Crea e Mútua deve sempre ocorrer para propósitos legítimos, claros e previamente informados, vinculados ao desempenho das funções institucionais e legais do Sistema.

Princípio da Necessidade: A coleta, o uso, o armazenamento e o compartilhamento de dados pessoais devem se limitar ao mínimo indispensável para o cumprimento das atividades institucionais, evitando excessos ou tratamentos desproporcionais.

Princípio da Não Discriminação: É vedado o uso de dados pessoais para finalidades discriminatórias, ilícitas ou abusivas, devendo o tratamento respeitar a igualdade, a dignidade e os direitos fundamentais dos titulares.

Princípio da Prevenção: O Sistema deve atuar de forma proativa, adotando ações e controles preventivos para reduzir riscos e impedir a ocorrência de incidentes ou danos relacionados ao tratamento de dados pessoais.

Princípio da Qualidade dos Dados: Os dados pessoais tratados devem ser exatos, íntegros, atualizados e relevantes, assegurando que as informações mantidas pelo Sistema Confea/Crea e Mútua representem adequadamente a realidade do titular.

Princípio da Responsabilização e Prestação de Contas (Accountability): O Sistema Confea/Crea e Mútua deve ser capaz de demonstrar, de forma objetiva e documentada, que adota medidas de governança, segurança e proteção de dados pessoais compatíveis com a LGPD e com as melhores práticas do setor público.

Princípio da Segurança: Devem ser adotadas medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, perda, destruição ou qualquer forma de uso indevido, considerando o contexto das atividades desenvolvidas pelo Sistema.

Princípio da Transparência: O titular deve receber informações claras e acessíveis sobre as atividades de tratamento, inclusive quanto às bases legais, práticas adotadas e direitos assegurados pela LGPD.

Princípio do Livre Acesso: O Sistema Confea/Crea e Mútua deve garantir que os titulares possam acessar de forma fácil, clara e gratuita informações sobre o tratamento de seus dados pessoais, inclusive quanto à origem, finalidade e forma de utilização.

Privacy by Default (Privacidade como Padrão): Implantação de configurações e práticas que assegurem o nível mais alto de proteção aos dados pessoais por padrão, independentemente de ação do titular.

Privacy by Design (Privacidade desde a Concepção): Abordagem que exige que os requisitos de privacidade, segurança, minimização de dados e transparência sejam incorporados desde o início de projetos, sistemas, fluxos, contratações e processos administrativos.

Pseudonimização: Processo que substitui identificadores diretos por códigos ou chaves, reduzindo riscos, mas sem tornar a reidentificação impossível.

Registro das Operações (ROPA): Inventário contínuo de todas as operações de tratamento realizadas pelo Sistema Confea/Crea e Mútua, incluindo bases legais, finalidades, categorias de dados e riscos.

Relatório de Impacto à Proteção de Dados Pessoais (RIPD): Documento exigido pela LGPD e pela ANPD para registrar a avaliação dos riscos, hipóteses de tratamento, medidas de mitigação e impactos à privacidade.

Suboperador: Terceiro contratado pelo operador para execução de parte da operação de tratamento.

Titular de Dados Pessoais: Pessoa natural a quem se referem os dados tratados pelo Sistema Confea/Crea e Mútua, incluindo profissionais registrados, empresas, artífices, cidadãos, participantes de processos administrativos, visitantes, fornecedores e agentes públicos.