Política de Conformidade Jurídica e Regulamentar

A Política de Conformidade Jurídica e Regulamentar (P37) é um componente central do quadro de governação e gestão de riscos da organização. O seu objetivo principal é estabelecer uma abordagem obrigatória e sistemática para identificar, gerir e cumprir todas as obrigações legais, regulamentares e contratuais relevantes para a segurança da informação, privacidade de dados e atividades operacionais. A intenção da política é prevenir os riscos de incumprimento, que podem resultar em consequências graves, como penalizações financeiras, responsabilidade legal, perturbação organizacional ou dano reputacional. Para esse fim, a P37 apoia diretamente a integração de requisitos de conformidade em estruturas de governação, programas de gestão de riscos, fluxos de trabalho operacionais, ciclos de vida de projetos e decisões de conceção de sistemas. A política aplica-se a toda a organização, abrangendo todos os departamentos, funções, unidades de negócio e indivíduos que atuem em nome da entidade. Isto inclui trabalhadores (permanentes e temporários), contratados, consultores, estagiários e todos os fornecedores terceiros ou parceiros que tratem dados, sistemas ou responsabilidades regulamentares. Em termos de âmbito, rege a conformidade em múltiplos domínios: segurança da informação (incluindo quadros como ISO/IEC 27001, NIS2, DORA), privacidade de dados (RGPD e legislação setorial), regulação setorial (financeira, saúde, automóvel), obrigações contratuais (Acordo de Confidencialidade (NDA), Acordos de Nível de Serviço (SLA)) e requisitos legais como notificação de incidentes, cooperação com autoridades policiais ou transferência transfronteiriça de dados. Um benefício essencial da política é a atribuição detalhada de papéis e responsabilidades, claramente enumerados para a Alta Direção, funções de conformidade e Jurídico e Conformidade, Diretor de Segurança da Informação (CISO), Auditoria Interna, líderes departamentais e todos os trabalhadores ou prestadores de serviços. As responsabilidades incluem a manutenção de um registo abrangente de obrigações de conformidade, a realização de avaliações de impacto, a disponibilização de interpretatações jurídicas, a implementação de controlos e a participação em revisões periódicas de conformidade e auditorias. Cada obrigação é mapeada para requisitos e controlos específicos no Sistema de Gestão de Segurança da Informação (SGSI) da organização, com requisitos de retenção de evidências, frequência de testes e atribuição clara de proprietários. Os requisitos de governação são robustos: um registo centralizado de conformidade deve ser atualizado trimestralmente, a conformidade deve ser integrada desde a conceção em todos os ciclos de vida de sistemas e políticas, alterações significativas de risco jurídico exigem aprovação formal e as avaliações de risco que abrangem domínios legais e regulamentares devem ser realizadas anualmente. A política descreve também procedimentos precisos de gestão de alterações regulamentares, exigindo revisões mensais de desenvolvimentos legais aplicáveis, comunicação de atualizações e rastos de auditoria detalhados. As relações com terceiros são abordadas através de cláusulas contratuais obrigatórias e avaliações de conformidade de fornecedores. A formação em conformidade é um requisito organizacional, a ser acompanhada e documentada no Sistema de Gestão da Aprendizagem. As secções de gestão de riscos e exceções estipulam que todos os riscos de conformidade são registados no Registo de Riscos Empresarial e que quaisquer exceções à política exigem justificação documentada e aprovação de alto nível. Em termos de aplicação, o incumprimento pode resultar em medidas disciplinares ou ação legal, com protocolos explícitos para proteção do mecanismo de denúncia. O documento está sujeito a revisão anual, com revisões adicionais desencadeadas por alterações legais ou de negócio relevantes, garantindo que a organização mantém um alinhamento atualizado com todas as leis, normas da indústria e expectativas regulamentares aplicáveis.