Política de Proteção de Dados e Privacidade - PME

A Política de Proteção de Dados e Privacidade (P17S) fornece um quadro estruturado para proteger dados pessoais nas organizações, em particular pequenas e médias empresas (PME) que podem não ter equipas de segurança dedicadas ou departamentos de TI especializados. Esta política para PME foi concebida com funções e responsabilidades simplificadas, como o Diretor-Geral (DG) a atuar como responsável com responsabilização, para garantir que a conformidade é compreensível e exequível independentemente da dimensão ou dos recursos internos da organização. A sua estrutura e conteúdo estão totalmente adaptados à realidade das PME, com medidas práticas e baseadas no risco que se alinham com a ISO/IEC 27001:2022, mantendo simultaneamente a prontidão para auditorias e escrutínio regulatório. O documento estabelece requisitos claros para recolher, armazenar, tratar e eliminar dados pessoais, assegurando que todas as atividades relevantes são lícitas, justas e seguras, conforme prescrito por regulamentos de proteção de dados como o RGPD, NIS2 e DORA. Importa salientar que a política abrange dados pessoais tratados nas instalações, na nuvem ou por prestadores de serviços terceiros, e torna a conformidade obrigatória para trabalhadores e prestadores de serviços e fornecedores. O âmbito é abrangente, incluindo todos os sistemas, localizações e pessoal que possam tratar dados relacionados com clientes, trabalhadores, fornecedores ou quaisquer outros indivíduos identificáveis. Os objetivos críticos da política incluem assegurar a adesão a leis e normas de privacidade, implementar controlos tecnológicos e controlos organizacionais e promover uma cultura de responsabilização e transparência. Inclui disposições específicas para respeitar direitos individuais de privacidade, como o direito de aceder, corrigir ou eliminar dados pessoais, e para aplicar práticas rigorosas de minimização de dados e eliminação segura. A política também sublinha a necessidade de documentar atividades de tratamento, manter controlo de acesso robusto e gerir incidentes de privacidade com procedimentos de escalonamento bem definidos. As funções são atribuídas explicitamente: o Diretor-Geral é responsável pela supervisão e alocação de recursos, o Coordenador de Privacidade (que pode ser interno ou externalizado) trata das tarefas operacionais de privacidade, o Suporte de TI assegura os controlos tecnológicos, os Gestores de Departamento reforçam a conformidade nas suas equipas, e todo o pessoal e prestadores de serviços devem cumprir as regras e concluir a formação obrigatória. Os mecanismos de revisão e adaptação são parte integrante desta política, exigindo revisão formal anual e revisões adicionais desencadeadas por novas leis, incidentes graves ou novos serviços que envolvam tratamento de dados. O tratamento de exceções e os procedimentos de gestão de riscos asseguram que os desvios são controlados, limitados no tempo e totalmente documentados. Por fim, enquanto política conforme para PME, a P17S reduz a distância entre o rigor regulatório e a praticabilidade operacional, apoiando as empresas na demonstração de responsabilização, na proteção da confiança dos clientes e na minimização do risco de incumprimento.