Política de Retenção e Eliminação de Dados - PME

A Política de Retenção e Eliminação de Dados - PME (Política P14S) foi elaborada especificamente para Pequenas e Médias Empresas (PME), reconhecendo as limitações e responsabilidades únicas que estas organizações enfrentam. Esta política está totalmente adaptada para PME, o que é evidente pelo envolvimento do Diretor-Geral como proprietário da política, sem pressupor papéis especializados como SOC ou CISO, assegurando simultaneamente a conformidade com quadros de referência líderes como a ISO/IEC 27001:2022, o RGPD e regulamentos relacionados. O objetivo principal desta política é estabelecer regras claras e aplicáveis para reter e eliminar de forma segura a informação, garantindo que os registos são mantidos apenas durante o período exigido por lei, contratos ou necessidade de negócio. Após o cumprimento destes requisitos, a informação deve ser destruída de forma irreversível. A política aborda a importância de minimizar a exposição legal e o risco operacional, prevenindo a retenção não autorizada ou redundante de dados. Também destaca os benefícios de uma retenção e eliminação bem governadas para a prontidão para auditoria, redução de custos e melhoria do desempenho dos sistemas. Para PME, a política serve como um meio prático para gerir de forma responsável ativos de dados digitais e em papel, independentemente da dimensão da equipa de TI. O âmbito abrangente inclui todos os tipos de registos, documentos de negócio, registos operacionais, ficheiros financeiros, dados pessoais, e aplica-se a todos os suportes de armazenamento, desde discos locais e sistemas alojados na nuvem até armazenamento em papel e sistemas de cópia de segurança. Todos os trabalhadores e prestadores de serviços terceiros que tratem dados da organização estão vinculados a esta política. A política cobre todas as fases do ciclo de vida dos dados, desde a criação até à eliminação ou destruição segura. Uma característica essencial é a delimitação clara de papéis e responsabilidades. O Diretor-Geral aprova, assegura o alinhamento com o risco legal e de negócio e trata exceções e a preservação legal e suspensão do apagamento. Os Proprietários de Dados designados são atribuídos por categoria de dados e são responsáveis pela classificação, determinação dos períodos de retenção e autorização de eliminações; também apoiam processos de auditoria. O Prestador de Suporte de TI ou Responsável Interno de TI tem a tarefa de configurar sistemas para regras de retenção, registo de eliminação e apagamento seguro, incluindo para sistemas de cópia de segurança e arquivos. Espera-se que trabalhadores e prestadores de serviços cumpram a política, evitem retenção indevida, reportem contas órfãs e utilizem apenas sistemas aprovados para armazenamento de dados. Os requisitos centrais de governação centram-se na manutenção de um Registo de Retenção detalhado que liste categorias de registos, períodos atribuídos, métodos de eliminação, justificação legal e Proprietários de Dados. Este registo deve ser revisto anualmente ou mediante desencadeadores legais ou de negócio relevantes. Os métodos de eliminação são selecionados com base na classificação de dados, utilizando procedimentos seguros como trituração de corte cruzado, apagamento criptográfico ou destruição física de suportes. A preservação legal e suspensão do apagamento é detalhada de forma expressa; uma vez aplicada, impede a eliminação independentemente do período de retenção agendado e requer revisão mensal. A política também exige formação do pessoal e formação de reciclagem anual para assegurar a sensibilização. As exceções são rigorosamente controladas, com processos de documentação, aprovação, revisão e expiração justificável. Os mecanismos de aplicação incluem auditorias regulares, verificações pontuais e consequências rigorosas por violações, até e incluindo cessação contratual ou obrigações de reporte regulamentar em caso de tratamento indevido de dados pessoais. Em última análise, esta política assegura que uma PME pode operar de forma legalmente conforme, auditável e eficiente em termos de recursos, mesmo quando não existem papéis avançados de segurança de TI. Foi concebida para alinhar com a ISO/IEC 27001:2022 e leis de privacidade, oferecendo às PME uma base robusta para a gestão do ciclo de vida dos dados sem complexidade desnecessária.