LGPD para Conselhos Profissionais (CRM, OAB, CRC, CREA): Guia de Adequação
Conselhos profissionais — CRM, OAB, CRC, CREA, CFP, COREN, CRO e dezenas de outros — são autarquias federais que processam dados pessoais de milhões de profissionais em todo o Brasil. Cadastro de registro profissional, histórico de anuidades, processos éticos e disciplinares, certidões de regularidade: tudo isso é tratamento de dados pessoais nos termos da LGPD.
E, diferentemente de empresas privadas, conselhos profissionais operam numa zona peculiar — são entidades de direito público com autonomia administrativa e financeira, mas não integram a administração pública federal direta. Essa natureza jurídica sui generis gera dúvidas sobre como aplicar a LGPD na prática. Este guia responde a essas dúvidas.
Natureza jurídica dos conselhos e aplicabilidade da LGPD
Conselhos profissionais são autarquias corporativas federais — pessoas jurídicas de direito público criadas por lei para fiscalizar o exercício de profissões regulamentadas. O STF e o STJ já reconheceram, em múltiplas decisões, a natureza autárquica dessas entidades.
A LGPD se aplica integralmente a conselhos profissionais. Eles são controladores de dados pessoais nos termos do Art. 5º, VI da LGPD — definem as finalidades e os meios de tratamento dos dados dos profissionais registrados.
O Art. 23 da LGPD, que trata do tratamento de dados pelo poder público, aplica-se a conselhos profissionais por sua natureza autárquica. Isso significa que o tratamento deve:
- Atender à finalidade pública e ao interesse público
- Ser informado de forma clara e atualizada em veículos de fácil acesso (Art. 23, I)
- Indicar um encarregado de dados (Art. 23, III)
Quais dados os conselhos profissionais tratam
O volume e a variedade de dados tratados por conselhos são maiores do que se imagina:
Cadastro profissional
- Nome completo, CPF, RG, data de nascimento, filiação
- Endereço residencial e profissional
- Dados acadêmicos (diploma, instituição, ano de conclusão)
- Fotografia (dados biométricos para carteira profissional)
- Número de registro profissional
- Especialidades e títulos
Dados financeiros
- Histórico de anuidades (pagamentos, inadimplência)
- Dados bancários (para débito automático ou restituição)
- Protestos de anuidades em cartório
Processos éticos e disciplinares
- Denúncias recebidas (dados do denunciante e do denunciado)
- Investigações e procedimentos administrativos
- Laudos e pareceres técnicos
- Dados sensíveis: dependendo da natureza da denúncia, processos éticos podem conter dados de saúde (no caso do CRM), informações sobre orientação sexual, origem racial ou convicção religiosa
Dados de interação
- Atendimentos presenciais e telefônicos
- Solicitações de certidões
- Participação em eventos e cursos promovidos pelo conselho
Base legal para tratamento: obrigação legal como fundamento principal
A base legal central para o tratamento de dados por conselhos profissionais é o cumprimento de obrigação legal ou regulatória (Art. 7º, II e Art. 11, II, a da LGPD). Cada conselho opera sob legislação específica que fundamenta o tratamento:
| Conselho | Legislação de criação | Dados obrigatórios |
|---|---|---|
| CRM | Lei 3.268/1957 | Registro médico, diploma, especialidades |
| OAB | Lei 8.906/1994 (Estatuto da Advocacia) | Inscrição, exame de ordem, dados acadêmicos |
| CRC | Decreto-Lei 9.295/1946 | Registro contábil, certidões |
| CREA | Lei 5.194/1966 | Registro de engenheiro, ARTs |
| CFP | Lei 5.766/1971 | Registro de psicólogo, especialidades |
| COREN | Lei 7.498/1986 | Registro de enfermeiro, técnico |
Limites da obrigação legal: a base legal de obrigação legal cobre o tratamento necessário para a finalidade de fiscalização profissional. Não cobre, por exemplo:
- Uso de dados para marketing de eventos ou cursos do conselho (exige consentimento ou legítimo interesse com LIA)
- Compartilhamento com terceiros fora do contexto regulatório
- Criação de perfis comportamentais dos profissionais
Para essas finalidades, o conselho precisa identificar base legal própria — geralmente consentimento (Art. 7º, I) ou legítimo interesse com análise documentada (Art. 7º, IX e Art. 10).
Registro de profissionais e publicidade: nome e número de registro são públicos?
Essa é uma das dúvidas mais frequentes. O nome e o número de registro de um profissional são dados que os conselhos costumam disponibilizar em consulta pública nos seus portais — para que qualquer cidadão possa verificar se um médico, advogado ou engenheiro está regularmente inscrito.
O que pode ser público
- Nome e número de registro: sim — a finalidade de fiscalização exige que a sociedade possa verificar a regularidade do profissional. Base legal: obrigação legal + interesse público
- Situação cadastral (ativo, inativo, suspenso, cancelado): sim — informação essencial para a finalidade regulatória
- Especialidades registradas: sim — quando o registro de especialidade é público por determinação normativa
O que NÃO deve ser público
- CPF completo: dado pessoal sem necessidade de exposição pública para a finalidade de consulta
- Endereço residencial: dado pessoal que não se enquadra na finalidade de consulta pública
- Dados financeiros: inadimplência de anuidade não é informação de interesse público para consulta
- Processos éticos em andamento: sigilo processual prevalece até decisão final
O equilíbrio é: publicar o necessário para a finalidade de fiscalização e proteger o que vai além dessa finalidade.
Processos éticos e disciplinares: sigilo vs. publicidade da decisão
Processos éticos e disciplinares são o ponto mais delicado da proteção de dados em conselhos profissionais. Eles contêm, por natureza, dados pessoais do denunciante, do denunciado e, frequentemente, de terceiros (pacientes, clientes, partes interessadas).
Fase de investigação e instrução
- Sigilo obrigatório: a maioria dos códigos de ética profissional prevê sigilo do processo ético até a decisão final
- Os dados do denunciante devem ser protegidos para evitar retaliação
- Dados sensíveis (laudos médicos, relatos de vítimas) exigem controle de acesso restrito
Decisão final
- Penalidades públicas: quando o conselho aplica penalidade de cassação ou suspensão, a publicação é necessária para a finalidade de proteção da sociedade
- Penalidades privadas (advertência, censura reservada): não devem ser publicizadas por definição
- Anonimização: decisões publicadas em repositórios de jurisprudência ética devem anonimizar dados de pacientes, clientes e terceiros
Retenção de dados processuais
Processos éticos contêm dados que devem ser retidos por prazos longos — prescrição de infrações éticas pode ser de 5 a 10 anos, dependendo do conselho. Dados de processos arquivados devem ser mantidos pelo prazo prescricional, com acesso restrito.
Compartilhamento de dados com outros conselhos e poder público
Conselhos profissionais compartilham dados em diversas situações:
Compartilhamento legítimo (base legal clara)
- Entre conselhos regionais e federal do mesmo sistema: o CRM regional compartilha dados com o CFM para fins de registro nacional. Base: obrigação legal
- Com o poder público por determinação legal: DATASUS (dados de profissionais de saúde), Receita Federal (anuidades), tribunais (perícias)
- Com o Judiciário: em resposta a decisão judicial ou requisição
Compartilhamento que exige cautela
- Entre conselhos de diferentes profissões: um CRM compartilhar dados com um COREN sobre profissional dual precisa de base legal específica
- Com entidades de classe (sindicatos, associações): não são órgãos fiscalizadores — compartilhamento exige consentimento ou outra base legal
- Com empresas privadas (seguradoras, planos de saúde): vedado sem base legal explícita
Sistemas de registro e operadores de dados
Conselhos profissionais utilizam sistemas informatizados para gestão de registros:
- CRM Digital: plataforma de registro médico com dados de todos os médicos do país
- Cadastro Nacional da OAB: sistema unificado de inscrição de advogados
- SisGCR: sistema do CRC para registro de contadores
- CREA Digital: plataforma de registro de profissionais de engenharia
Quando esses sistemas são desenvolvidos e mantidos por terceiros (empresas de tecnologia contratadas pelo conselho), a empresa é operadora nos termos da LGPD. É necessário:
- Formalizar DPA (Data Processing Agreement) com cada fornecedor de sistema
- Verificar onde os dados são armazenados (servidores no Brasil ou exterior)
- Garantir que o fornecedor não use os dados para finalidades próprias
- Prever cláusulas de auditoria e de devolução/eliminação de dados ao término do contrato
DPO em autarquias: obrigatoriedade e estruturação
Obrigatoriedade
O Art. 23, III da LGPD determina que órgãos e entidades públicas indiquem um encarregado de dados. Conselhos profissionais, como autarquias, estão sujeitos a essa obrigação.
Quem pode ser DPO em conselho profissional
- Servidor do conselho: ideal, se tiver conhecimento em proteção de dados
- Conselheiro membro: pode gerar conflito de interesse se participar de decisões disciplinares
- Profissional contratado (DPO as a Service): permitido, desde que formalizado
Conflito de interesse
Não devem ser encarregados:
- Diretor de TI: responsável pelos sistemas que tratam dados — não pode fiscalizar a si mesmo
- Presidente ou diretor do conselho: autoridade máxima — conflito com a independência do encarregado
- Responsável pelo setor de cobrança: trata dados financeiros e de inadimplência — conflito direto
Publicidade
A nomeação do encarregado deve ser publicada no site do conselho e comunicada à ANPD, nos termos da Resolução CD/ANPD nº 18/2024.
Direitos dos titulares em conselhos profissionais
Profissionais registrados são titulares de dados e podem exercer os direitos previstos no Art. 18 da LGPD:
| Direito | Aplicabilidade em conselhos |
|---|---|
| Acesso aos dados | Sim — o profissional pode solicitar cópia dos dados tratados |
| Correção | Sim — atualização de endereço, nome (após alteração em registro civil) |
| Eliminação | Limitada — dados de registro profissional devem ser retidos por obrigação legal |
| Portabilidade | Limitada — aplicável a dados que o profissional forneceu (não a dados gerados pelo conselho) |
| Oposição | Possível para tratamentos baseados em legítimo interesse (ex: marketing) |
| Revogação de consentimento | Aplicável apenas a tratamentos baseados em consentimento |
O ponto crítico é a eliminação: o profissional não pode exigir que o conselho delete seus dados de registro, anuidades ou processos éticos — a retenção é obrigação legal. O conselho deve informar isso de forma clara na política de privacidade.
Checklist de conformidade para conselhos profissionais
- Encarregado de dados designado e publicado no site, conforme Art. 23, III da LGPD
- Política de privacidade publicada no site com todas as informações do Art. 9º
- Mapeamento de todas as atividades de tratamento (ROPA) — cadastro, anuidades, processos éticos, eventos
- Base legal documentada para cada atividade de tratamento
- Canal do titular implementado e monitorado (prazo de 15 dias para resposta)
- DPAs formalizados com fornecedores de sistemas (CRM Digital, sistemas de gestão)
- Controle de acesso a processos éticos e disciplinares implementado
- Política de retenção de dados definida (prazo por tipo de dado)
- Consulta pública de profissionais revisada (publicar apenas dados necessários)
- Programa de conscientização sobre LGPD para servidores e conselheiros
- Plano de resposta a incidentes de segurança implementado
- Aviso de privacidade nos formulários de coleta de dados (registro, denúncia, eventos)
- RIPD elaborado para tratamentos de dados sensíveis em larga escala
Conclusão
Conselhos profissionais são controladores de dados pessoais com responsabilidades claras sob a LGPD. A base legal de obrigação legal ampara a maior parte do tratamento — mas não é carta branca. Consulta pública de registros, processos éticos, compartilhamento com terceiros e uso de dados para comunicação institucional exigem análise individualizada de base legal e proporcionalidade.
A adequação não é apenas uma obrigação — é uma oportunidade para conselhos modernizarem seus processos, reduzirem riscos e fortalecerem a confiança dos profissionais registrados. Em um cenário em que a ANPD atua como agência reguladora com capacidade sancionatória ampliada, a inércia não é opção.
A Confidata oferece funcionalidades específicas para autarquias e entidades públicas: registro de atividades de tratamento com bases legais documentadas, gestão de solicitações de titulares com controle de prazos e geração de RIPD — ferramentas que auxiliam conselhos profissionais a evidenciar conformidade com a LGPD.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.