Política de Proteção de Dados e Privacidade

A Política de Proteção de Dados e Privacidade (P17) estabelece um quadro abrangente para a proteção de dados pessoais e a implementação de princípios de privacy-by-design em toda a organização. Esta política define os requisitos organizacionais e tecnológicos obrigatórios necessários para cumprir normas internacionais e quadros regulamentares em evolução, garantindo que os dados pessoais são tratados de forma lícita, segura e transparente ao longo do seu ciclo de vida. A cobertura estende-se a todas as unidades organizacionais, todo o pessoal e sistemas que tratem dados pessoais, quer em suportes físicos quer digitais, e inclui serviços de nuvem, plataformas SaaS e dispositivos móveis. A política é explícita no seu âmbito, clarificando que todos os trabalhadores, contratados e terceiros estão sujeitos aos seus requisitos. Todos os ambientes onde residem dados pessoais — produção, desenvolvimento, teste ou sistemas de cópia de segurança — estão abrangidos. A política aborda não só a recolha, armazenamento e utilização de dados pessoais, mas também a retenção, eliminação, transferências transfronteiriças e o tratamento de direitos dos titulares dos dados. Um objetivo central da política é assegurar a conformidade com regulamentos e normas de referência: RGPD (Artigos 5, 6, 12–23, 25, 28, 30, 32–34; Considerando 78), UE NIS2, UE DORA, ISO/IEC 27001:2022 (Cláusulas 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (Controlos 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (vários controlos) e COBIT 2019 (APO12, DSS01, DSS05, MEA). Para esse fim, impõe a atribuição de papéis e estruturas de responsabilização: a Alta Direção assegura a supervisão estratégica; o DPO orquestra processos de conformidade, a aplicação de direitos dos titulares dos dados e a interação com autoridades de controlo; e Segurança, Jurídico, Proprietários dos Dados e TI implementam colaborativamente salvaguardas tecnológicas e organizacionais, mantêm registos e gerem violações. A política exige um Quadro de Governação de Privacidade formal integrado com o Sistema de Gestão de Segurança da Informação (SGSI) da organização para uma aplicação consistente. Delineia processos para manter registos de riscos de privacidade, conduzir DPIAs para tratamentos de alto risco e assegurar que os controlos de privacidade (desde a minimização de dados e pseudonimização até ao agendamento de retenção e eliminação segura) estão profundamente incorporados. O tratamento lícito e os fundamentos legais documentados são basilares, com gestão explícita do consentimento, inventários de dados e fluxos de dados transfronteiriços. Os pedidos dos titulares dos dados são tratados dentro de prazos definidos e registados para rastreabilidade, e são descritos em detalhe quadros robustos para gestão de violações, tratamento de exceções e supervisão de terceiros. Revisões regulares, rastos de auditoria e um requisito de auditorias internas anuais (ou ad hoc) ajudam a garantir que a política permanece eficaz e responsiva a alterações regulamentares, constatações de auditoria ou incidentes graves. Cada atualização significativa deve ser aprovada pela Alta Direção e documentada no SGSI. Esta política constitui uma parte integrante do sistema mais amplo de segurança da informação e gestão de riscos da organização, ligando-se estreitamente a políticas complementares sobre resposta a incidentes, gestão de riscos, classificação, retenção, mascaramento de dados e monitorização de auditoria.