O Presidente do Conselho Federal dos Técnicos Industriais, no uso das atribuições que lhe confere a Lei nº 13.639 de 26 de março de 2018 , bem como o Regimento Interno do CFT,
Faz saber que o Plenário do Conselho Federal dos Técnicos industriais deliberou em sua Sessão Plenária Ordinária nº 25, nos dias 23 a 24 de março de 2022, e

Considerando o art. 3º da Lei nº 13.639 de 2018 , que estabelece que o Conselho Federal e os Conselhos Regionais dos Técnicos Industriais têm como função orientar, disciplinar e fiscalizar o exercício profissional das respectivas categorias;

Considerando que o Conselho Federal dos Técnicos Industriais considera regulamentar no âmbito do Sistema CFT/CRTs as questões da Lei Geral de Proteção de Dados, que passou a vigorar no dia 18 de setembro de 2020.

Considerando a portaria CFT Nº 048, de 21 de setembro de 2020, que decidiu adotar os procedimentos para implantação da LGPD no SINCETI e apoio aos CRTs;

Considerando o Ofício Circular CFT Nº 043/2020 de 11 de agosto de 2020, o que solicitou aos regionais a indicação de representantes para compor o comitê Nacional da LGPD do sistema CFT e CRTS;

Considerando a portaria CFT Nº 069, de 17 de dezembro de 2020 que instituiu e nomeou o encarregado pelo tratamento dos dados pessoais no âmbito do Conselho Federal dos Técnicos Industriais e as portarias subsequentes dos CRTs na designação dos seus respectivos encarregados pelo tratamento dos dados pessoais;

Considerando as decisões do I, II e III Seminário Nacional da LGPD no Sistema CFT e CRTs que aconteceram em dezembro de 2020, março e setembro de 2021 respectivamente;

Considerando que as ações do sistema CFT e CRTs relativas à proteção de dados pessoais tem o nome de Painel LGPD no Sistema CFT e CRTs, disponível nos portais dos Conselhos de Técnicos Industriais;

Considerando o disposto na Lei nº 13.709, de 14 de agosto de 2018 , que dispõe sobre o tratamento de dados pessoais em todo o território nacional;

Considerando o fato de que o tratamento de dados pessoais passa por diferentes responsáveis nas unidades administrativas, bem como por diferentes meios de operação, armazenamento e comunicação;

Considerando a extensão da proteção da privacidade e dos dados pessoais aos meios físicos e digitais previstas na Lei nº 13.709/2018 ,

Resolve:

Art. 1º Ficam instituídas as Diretrizes Gerais de Privacidade e Proteção de Dados Pessoais no âmbito do Sistema CFT/CRTs, como parte integrante de sua estrutura normativa, que seguirá os princípios, as diretrizes e os objetivos compatíveis com os requisitos previstos na legislação brasileira, além de boas práticas e normas internacionalmente aceitas.

§ 1º As diretrizes instituídas nesta Resolução se aplicam a qualquer operação de tratamento de dados pessoais realizada pelo Sistema CFT/CRTs, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.

§ 2º Os membros do Plenário, Servidores, Colaboradores, Contratos Terceirizados e quaisquer outras pessoas que realizam tratamento de dados pessoais no Sistema CFT/CRTs se sujeitam às diretrizes e às normas previstas nesta Resolução e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.

Art. 2º Para os efeitos desta Resolução, considera-se:

I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;

II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - Dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa;

IV - Banco de dados: conjunto estruturado de dados pessoais, estabelecido em meio físico ou eletrônico;

V - Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;

VI - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;

IX - Tratamento de dados pessoais: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;

X - Agentes de tratamento: o Controlador e o Operador;

XI - Anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;

XII - Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - Compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre órgãos públicos e privados;

XVII - Relatório de impacto na proteção de dados pessoais: documentação do controlador com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e mecanismos de mitigação de risco;

XVIII - Autoridade Nacional de Proteção de Dados - ANPD: Órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais em todo o Território Nacional;

XIX - Comitê Nacional da Segurança de Dados do Sistema CFT e CRTs: composto por seis representantes do CFT e dois representantes de cada Regional, para conduzirem as ações relativas à segurança de dados no Sistema CFT e CRTs;

XX - Painel LGPD no Sistema CFT e CRTs: disponível nos Portais dos Conselhos de Técnicos Industriais tem como objetivo informar o Técnico Industrial, Sociedade e Órgãos de Controle, a compreender como os dados pessoais são utilizados.

Art. 3º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - Finalidade: objetivo legítimo, específico e explícito, que deverá ser informado ao titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;

II - Adequação: conformidade do tratamento dos dados pessoais, compatível com as finalidades informadas ao titular;

III - necessidade: imposição do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos, em relação à finalidade do tratamento dos dados para a qual foram coletados;

IV - Livre acesso: garantia, ao titular, de disponibilidade de forma gratuita e facilitada, ao tratamento de seus dados pessoais;

V - Qualidade dos dados: garantia ao titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - Transparência: garantia, ao titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os respectivos agentes de tratamento;

VII - Segurança: utilização de medidas técnicas e administrativas de seguridade e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - Não discriminação: proibição do tratamento de dados pessoais para fins com de segregação, ilícitos ou abusivos; e

IX - Responsabilidade e prestação de contas: responsabilização e prestação de contas dos agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.

Art. 4º O objetivo geral desta Resolução é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus titulares no âmbito do Sistema CFT/CRTs.

Parágrafo único. São objetivos específicos desta Resolução:

I - Assegurar níveis adequados de proteção aos dados pessoais tratados pelo Sistema CFT/CRTs;

II - Orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;

III - Garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

IV - Prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e

V - Minimizar os riscos de violação de dados pessoais tratados pelo Sistema CFT/CRTs e qualquer impacto negativo que resulte dessa violação.

Art. 5º São direitos do titular de dados pessoais tratados pelo Sistema CFT/CRTs:

I - Confirmar a existência de tratamento;

II - Acessar os dados;

III - Corrigir dados incompletos, inexatos ou desatualizados;

IV - Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;

V - Requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;

VI - Garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses previstas no art. 17 desta Resolução;

VII - Receber informação sobre o compartilhamento de seus dados pessoais;

VIII - Receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;

IX - Revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;

X - Opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;

XI - Solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com o Sistema CFT/CRTs; e

XII - Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

Parágrafo único. O titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos neste artigo a qualquer tempo, de forma facilitada e gratuita, em requisição expressa e específica, preferencialmente por meio do formulário eletrônico disponível no portal institucional na internet.

Art. 6º No âmbito do Sistema CFT/CRTs, o Conselho Federal dos Técnicos Industriais e os Conselhos Regionais dos Técnicos Industriais são, individualmente, os Controladores de dados pessoais, recomendando-se como boas práticas:

I - Estabelecer medidas de segurança para o tratamento de dados;

II - Manter registro das operações de tratamento de dados pessoais;

III - Elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados;

IV - Instituir, por meio de portaria, o Comitê Nacional de Segurança de dados do Sistema CFT E CRTs - CNSD e definir as respectivas atribuições com base na LGPD;

V - Designar, por meio de Portaria, o Encarregado de Dados Pessoais do Conselho Federal ou Regional pelas informações relativas aos dados pessoais;

VI - Revisar os contratos de prestação de serviços;

VII - Orientar os operadores quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD; e

VIII - Comunicar à Autoridade Nacional e ao titular, em prazo razoável, a ocorrência de incidentes de segurança com os dados pessoais, que possam causar danos ou risco relevantes ao titular.

Parágrafo único. Os Conselhos Federal e Regionais dos Técnicos Industriais atuarão como controladores conjuntos quando, por força de lei, convênio ou contrato, determinadas as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

Art. 7º O Operador é pessoa natural ou jurídica, distinta do Controlador e externa ao quadro funcional do Conselho, que realiza o tratamento de dados pessoais em nome do Controlador a partir de contrato com ele firmado.

§ 1º O Operador deverá realizar o tratamento de dados segundo as instruções fornecidas pelo Controlador, que verificará a observância das próprias instruções e das normas sobre proteção de dados pessoais.

§ 2º O contrato firmado entre Controlador e Operador deverá dispor sobre os limites à atuação do operador, fixando parâmetros objetivos de objeto, duração, natureza e finalidade dos dados tratados, os tipos de dados pessoais envolvidos, assim como direitos, obrigações e responsabilidades das partes relacionadas ao cumprimento da LGPD.

Art. 8º Os Encarregados pelo tratamento de dados pessoais são os responsáveis por garantir a conformidade do CFT e de cada um dos CRTs à LGPD com conhecimentos multidisciplinares necessários à sua atribuição, relativos aos temas de privacidade e proteção de dados pessoais, análise, gestão de riscos, governança e acesso à informação no setor público.

Parágrafo único. A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no Portal Institucional do Controlador no Portal do CFT e dos CRTs.

Art. 9º As atividades do Encarregado consistem em:

I - Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - Receber comunicações da Autoridade Nacional e adotar providências;

III - Orientar os funcionários e os contratados do Conselho a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - Executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Art. 10. O Comitê Nacional de Proteção de dados do Sistema CFT e CRTs - CNPD é responsável:

I - Pela avaliação dos mecanismos de tratamento e proteção dos dados e pela proposição de ações para seu aperfeiçoamento;

II - Pela emissão de orientações sobre boas práticas e governança de dados pessoais; e

III - Pelo desempenho das atribuições estabelecidas em Portaria específica;

IV - Pela atualização e organização do Painel LGPD no Sistema CFT e CRTs;

V - Pela organização dos Seminários Nacionais da LGPD no Sistema CFT e CRTs.

Parágrafo único. O CNPD atuará de forma articulada com as áreas/unidades para garantir a segurança e proteção dos dados pessoais e promover boas práticas relacionadas.

Art. 11. A Diretoria Executiva, Conselheiros, Empregados e todos os demais Colaboradores e Contratos terceirizados vinculados ao Sistema CFT/CRTs são responsáveis por:

I - Ler e cumprir integralmente os termos desta Resolução e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis;

II - Comunicar ao Encarregado qualquer evento que viole esta Resolução ou coloque em risco os dados pessoais tratados pelo Sistema CFT/CRTs; e

III - Responder no âmbito do Sistema CFT/CRTs pela inobservância das Diretrizes instituídas nesta Resolução e das demais normas e procedimentos legais ou regulatórios relacionados ao tratamento de dados pessoais.

Art. 12. O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, nos termos desta resolução e da legislação, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.

Art. 13. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:

I - Mediante o consentimento do titular;

II - Para o cumprimento de obrigação legal ou regulatória;

III - Para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;

IV - Para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;

V - Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;

VI - Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII - Para a proteção da vida ou da segurança física do titular ou de terceiros;

VIII - Para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - Quando necessário para atender a legítimo interesse do Controlador ou de terceiros;

X - Para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente; e

XI - Para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências do serviço judicial ou cumprir suas atribuições legais.

§ 1º O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima e poderá ser revogado a qualquer momento pelo titular.

§ 2º O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular.

Art. 14. O tratamento de dados sensíveis será realizado com o consentimento do titular ou de seu responsável legal de forma específica e destinado a finalidades específicas.

§ 1º O consentimento de que trata o caput deste artigo será dispensado quando:

I - Nas hipóteses previstas nos incisos II a VIII do art. 13 desta resolução; e

II - Nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, para prevenir a fraude e garantir a segurança dos dados pessoais do titular, resguardados todos os direitos de privacidade e de proteção desses dados.

§ 2º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em Legislação específica.

§ 3º Quando o tratamento de dados pessoais envolver os incisos II e III do art. 13, deverá ser dada publicidade à dispensa de consentimento.

§ 4º É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis entre Controladores com o objetivo de obter vantagem econômica, exceto se houver regulamentação por parte da Autoridade Nacional ou nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, nos termos de Legislação específica.

Art. 15. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta Resolução, salvo quando for revertido o processo de anonimização ao qual foram submetidos.

Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo Controlador em ambiente controlado e seguro.

Art. 16. O tratamento de dados pessoais deverá ser finalizado quando:

I - For alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;

II - O período de tratamento chegar ao fim;

III - Houver pedido de revogação do consentimento feito pelo titular, resguardado o interesse público; ou

IV - Por determinação da Autoridade Nacional, houver violação à Lei nº 13.709/2018 .

Art. 17. Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:

I - Cumprimento de obrigação legal ou regulatória;

II - Estudo por Órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - Transferência a terceiros, desde que respeitados os requisitos legais de tratamento de dados pessoais; ou

IV - Uso exclusivo pelo Sistema CFT/CRTs, vedado seu acesso por terceiros, e desde que anonimizados os dados.

Art. 18. O uso compartilhado de dados pelo Sistema CFT/CRTs deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na Legislação pertinente, resguardados os princípios de proteção de dados pessoais.

Parágrafo único. Na prestação dos serviços de sua competência, o Sistema CFT/CRTs compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.

Art. 19. A transferência internacional de dados pelo Sistema CFT/CRTs será realizada observando-se as Diretrizes instituídas nesta Resolução e os termos da Legislação nos seguintes casos, em conjunto ou isoladamente:

I - Transferência de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado;

II - Comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais, como cláusulas contratuais específicas, cláusulas padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;

III - Cooperação Jurídica Internacional entre Órgãos Públicos de inteligência para fins de investigação;

IV - Proteção da vida ou da incolumidade física do titular ou de terceiros;

V - Autorização pela Autoridade Nacional;

VI - Compromisso assumido em acordo de cooperação internacional;

VII - Execução de política pública ou de atribuição legal do serviço público;

VIII - Mediante consentimento específico e em destaque do titular dos dados pessoais;

IX - Cumprimento de obrigação legal ou regulatória;

X - Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e

XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.

Art. 20. São atividades que deverão ser realizadas no tratamento de dados pessoais:

I - Garantir ao titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;

II - Assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta Resolução e com a Legislação vigente;

III - Comunicar de forma clara o tratamento de dados pessoais ao titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;

IV - Quando forem requisitadas, fornecer ao titular explicações sobre o tratamento de seus dados pessoais;

V - Limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo titular ou da base legal específica para o tratamento sem o consentimento;

VI - Reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança, observado o disposto no art. 17 desta Resolução;

VII - Bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela Legislação;

VIII - Fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus titulares;

IX - Cientificar os titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;

X - Garantir aos titulares o acesso e a revisão de seus dados pessoais, desde que não haja restrição legal ao acesso ou à revisão;

XI - Assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros;

XII - Gerenciar riscos e eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada;

XIII - Adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados; e

XIV - Assegurar que a elaboração e a publicação das decisões de processos éticos profissionais e administrativas do Sistema CFT/CRTs estejam em conformidade com a Lei nº 13.709/2018 , no que se refere à minimização da utilização de dados pessoais.

Art. 21. As normas complementares de proteção de dados pessoais deverão abranger regras de boas práticas e de governança que estabeleçam os procedimentos e as condições de organização e de funcionamento, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas e o gerenciamento de riscos.

Parágrafo único. Os termos e as condições das Diretrizes instituídas nesta Resolução, para navegação no site do portal institucional do Sistema CFT/CRTs, deverão ser aprovados pelas Diretorias dos Conselhos Federal e Regionais dos Técnicos Industriais, respectivamente, e disponibilizados de forma ostensiva e acessível no Painel LGPD no Sistema CFT e CRTs, disponível no site do respectivo conselho.

Art. 22. As normas e os procedimentos de segurança da informação deverão ser ajustados para atender aos requisitos estabelecidos nas diretrizes instituídas nesta Resolução e na Legislação quanto às medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.

Art. 23. As Diretrizes estabelecidas nesta Resolução não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.

Art. 24. Esta Resolução será atualizada periodicamente, quando necessário, ouvido o CNPD.

Art. 25. Esta resolução entra em vigor na data de sua publicação.

WILSON WANDERLEI VIEIRA