O Conselho Federal dos Representantes Comerciais - Confere, no uso das atribuições legais previstas no artigo 10, VII, da Lei nº 4.886, de 09 de dezembro de 1965, com as alterações introduzidas pela Lei nº 12.246, de 27 de maio de 2010, e no artigo 12, IX do Regimento Interno,

Considerando que os Conselhos Federal e Regionais dos Representantes Comerciais constituem o Sistema Confere/Cores, aos quais incumbem a fiscalização do exercício profissional da atividade de Representação Comercial, nos termos do artigo 6º da Lei nº 4.886/1965, cabendo ao Conselho Federal adotar as providências legais e regimentais para garantir o cumprimento de suas finalidades institucionais previstas em sua lei de criação;

Considerando a vigência da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), que regulamenta o tratamento de dados pessoais, por pessoas naturais ou jurídicas de direito público e privado;

Considerando a necessidade de se normatizar a forma de tratamento dos dados pessoais mantidos pelo Sistema Confere/Cores;

Considerando o que foi deliberado na Reunião Plenária do Conselho Federal dos Representantes Comerciais, realizada nos dias 24 e 25 de março de 2021,

Resolve:

Art. 1º Os Conselhos Federal e Regionais dos Representantes Comerciais deverão aplicar, no que for cabível, as normas previstas na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), objetivando a proteção dos dados pessoais das pessoas físicas, que estiverem sob sua responsabilidade ou que tenha acesso.

§ 1º Considera-se dados pessoais todas as informações relacionadas aos representantes comerciais, funcionários ou terceiros, na forma física (papel), eletrônica ou qualquer outra que possa atingir a privacidade individual.

§ 2º Para o disposto nesta Resolução, considera-se tratamento de dados todas as operações previstas na Lei nº 13.709/2018, em especial, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração de informações pessoais de terceiros.

§ 3º A proteção será extensiva às pessoas jurídicas, caso seus sócios ou participantes possam ter sua privacidade afetada pelo tratamento de dados.

§ 4º Esta Resolução não se aplica aos dados anonimizados, onde não for possível a identificação dos seus titulares.

Art. 2º É dever das Entidades do Sistema Confere/Cores zelar pela segurança e privacidade dos dados armazenados, sendo vedado o seu acesso por funcionários ou terceiros não autorizados.

Parágrafo único. O Setor de Tecnologia da Informação do Confere deverá manter registro dos tratamentos realizados e dos acessos aos dados pessoais, com a indicação da data, hora exata e do funcionário que acessou as informações.

Art. 3º Caberá ao Conselho Federal e aos Conselhos Regionais vinculados tomarem decisões referentes ao tratamento de dados pessoais e:

a) elaborar Relatório de Impacto, quando requerido pela Autoridade Nacional de Proteção de Dados (ANPD);

b) comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Parágrafo único. O Conselho Federal e os Conselhos Regionais vinculados poderão formular regras de boas práticas e de governança que estabeleçam os procedimentos de tratamento de dados, os requerimentos realizados pelos titulares, as normas de segurança, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Art. 4º Apenas os funcionários autorizados poderão realizar tratamento de dados pessoais, inclusive na forma física (papel).

Art. 5º O Conselho Federal e os Conselhos Regionais vinculados nomearão, por meio de Portaria, funcionário para a função de Encarregado.

Parágrafo único. Caberá ao Encarregado atuar como canal de comunicação entre o Conselho, os titulares dos dados e a Autoridade Nacional de Proteção de Dados e:

a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

b) receber comunicações da ANPD e adotar providências;

c) orientar os funcionários da Entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

d) executar as demais atribuições determinadas pelo Conselho ou estabelecidas em normas complementares, editadas pelo Confere ou por outros órgãos competentes.

Art. 6º Os Conselhos podem fornecer a terceiros, independentemente do consentimento do titular dos dados, informações relacionadas à existência de registro profissional dos representantes comerciais.

Art. 7º As Entidades integrantes do Sistema Confere/Cores deverão manter, em seus respectivos sítios eletrônicos, informações sobre os tratamentos de dados pessoais por elas realizados, de forma clara e atualizada, detalhando a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução desses tratamentos.

Parágrafo único. Também deverão ser divulgadas as seguintes informações do Encarregado nomeado:

a) nome e cargo;

b) localização;

c) horário de atendimento;

d) telefone e e-mail para orientações e esclarecimentos.

Art. 8º O titular dos dados poderá requerer, preferencialmente mediante meio eletrônico:

I - Acesso à informação sobre a confirmação da existência de tratamento.

II - Acesso aos dados pessoais de que é titular e que são objeto de tratamento pelo respectivo Conselho Regional.

III - Acesso à informação sobre entidades públicas e privadas com as quais o Conselho realizou uso compartilhado de dados.

IV - Acesso à cópia eletrônica integral de seus dados pessoais, nos casos em que o tratamento tiver origem no consentimento do titular ou em contrato.

V - Correção de dados incompletos, inexatos ou desatualizados.

VI - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.

VII - Eliminação dos dados pessoais tratados pela Entidade com o seu consentimento, exceto nos casos em que o consentimento não for ou deixou de ser necessário.

Art. 9º Para realizar o tratamento de dados pessoais, será necessário o consentimento do seu titular, exceto nos casos de:

I - Exercício das competências legais dos Conselhos, tais como registro, procedimentos de cobrança, execução fiscal, processos judiciais e administrativos, sem prejuízo de outros.

II - Cumprimento de obrigação decorrente de lei ou de decisão judicial.

III - Compartilhamento dos dados com outros entes da Administração Pública, necessários à execução de políticas públicas previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

IV - Utilização com finalidade de estudo ou pesquisa, da área privada ou pública, desde que os dados sejam anonimizados, tornando impossível a identificação pessoal do titular.

§ 1º O consentimento do titular dos dados deverá ser prestado de forma expressa, livre, inequívoca e restrita à finalidade indicada, após ter conhecimento de todas as informações acerca do seu tratamento.

§ 2º O titular poderá, a qualquer tempo, revogar consentimento anteriormente prestado, mediante manifestação expressa e gratuita.

Art. 10. O compartilhamento de dados pessoais pelas Entidades do Sistema Confere/Cores às empresas privadas depende de expressa autorização dos seus titulares, exceto nos casos de terceirização de serviços.

§ 1º As empresas privadas terceirizadas deverão garantir a segurança dos dados pessoais compartilhados, os quais se limitarão exclusivamente às informações essenciais à devida prestação do serviço contratado.

§ 2º Todos os compartilhamentos de dados pessoais às empresas privadas devem ser comunicados à ANPD.

Art. 11. Os dados deverão ser eliminados após o término do seu tratamento.

§ 1º O término do tratamento de dados ocorre quando:

a) Atingida a finalidade para as quais os dados foram coletados ou quando estes deixam de ser necessários ou pertinentes para o alcance desta finalidade.

b) Revogado o consentimento ou a pedido do titular, quando cabível.

c) Houver determinação da Autoridade Nacional, em face de violação legal.

§ 2º Os dados poderão ser mantidos no caso de existência de interesse público ou caso sejam anonimizados.

Art. 12. As informações relacionadas à filiação sindical de representantes comerciais são consideradas dados sensíveis e seu tratamento é permitido apenas para fins de realização de procedimentos eleitorais dos Conselhos Regionais.

Parágrafo único. É vedado o acesso dos referidos dados por pessoas que não façam parte da organização do processo eleitoral.

Art. 13. Os Conselhos Regionais poderão elaborar regras adicionais às previstas nesta Resolução, com o intuito de orientar seus funcionários aos procedimentos de tratamentos de dados realizados pelo Regional.

Art. 14. Aplicam-se, no que couber, demais normas instituídas pela Administração Pública Federal acerca do tema, vigentes ou que vierem a ser baixadas.

Art. 15. Esta Resolução entrará em vigor a partir da data de sua publicação.

MANOEL AFFONSO MENDES DE FARIAS MELLO

Diretor-Presidente