Política de Privacidade de CCTV e Monitorização Física

A Política de Privacidade de CCTV e Monitorização Física estabelece controlos de privacidade para atividades de monitorização que recolham ou de outro modo tratem informações pessoais identificáveis (PII). O seu âmbito inclui CCTV, videovigilância, monitorização de visitantes, registos de controlo de acesso físico, registos de monitorização operados por vigilantes, sistemas de monitorização das instalações e monitorização física relacionada. A política aplica-se quando a organização atua como responsável pelo tratamento nas suas próprias instalações e quando suporta atividades de subcontratante ou subcontratante subsequente através da operação, alojamento, revisão, armazenamento, divulgação, apagamento ou outro tratamento de imagens de videovigilância, dados de visitantes ou registos de acesso físico em nome de um cliente. A política foi concebida para assegurar que a monitorização tenha uma finalidade definida, seja transparente, proporcionada, sujeita a controlo de acesso, retida por períodos definidos, divulgada apenas através de canais aprovados e suportada por evidência auditável do PIMS. Antes do início da monitorização, o Proprietário do processo ou o proprietário do negócio deve registar cada atividade de monitorização no REG02, incluindo finalidade, fundamento de licitude, local monitorizado, categorias de informações pessoais identificáveis (PII), categorias de titulares dos dados, retenção, aviso, acesso e campos de divulgação. O Responsável pela Privacidade / Gestor do PIMS valida estas entradas antes da ativação de uma atividade de monitorização nova ou materialmente alterada. As zonas monitorizadas aprovadas, as zonas excluídas e os limites de recolha também devem ser registados antes da ativação de câmaras, sensores, registos de visitantes ou registos de controlo de acesso. A política atribui forte ênfase à transparência e à revisão baseada no risco. A sinalização de monitorização ou evidência equivalente de aviso no momento adequado deve ser registada no REG07 antes de as áreas monitorizadas serem abertas aos titulares dos dados, e cada aviso deve estar ligado à finalidade do tratamento correspondente no REG02. Devem ser registadas medidas alternativas de transparência para monitorização não evidente ou de emergência. A monitorização de risco mais elevado, incluindo monitorização sistemática, gravação de áudio, identificação biométrica, deteção suportada por análise avançada, locais sensíveis, pessoas vulneráveis ou monitorização não evidente, exige uma decisão de risco de privacidade REG04 antes da ativação. Quando a monitorização for de alto risco, não evidente, em grande escala, orientada para trabalhadores ou sujeita a escalonamento não resolvido de pedidos de exercício de direitos ou incidentes, o Encarregado da Proteção de Dados / Assessor de Privacidade presta aconselhamento no REG04 ou no REG12. Os controlos operacionais abrangem acesso, visualização, exportação, divulgação, retenção, apagamento e escalonamento de incidentes. O Responsável pela Segurança da Informação define as funções de acesso autorizado para gravações de monitorização, registos de visitantes e registos de acesso físico, enquanto o Proprietário do sistema / proprietário da aplicação configura restrições de acesso e regista os resultados da revisão de acessos privilegiados pelo menos trimestralmente no REG12. O apagamento, a sobrescrita ou a desativação de rotina de gravações de monitorização expiradas devem ser configurados de acordo com o REG02, com evidência de conclusão do apagamento ou da sobrescrita registada pelo menos mensalmente para repositórios sujeitos a apagamento automatizado ou programado. As suspensões da eliminação e as cópias extraídas exigem aprovação e registo no REG12 antes de a retenção normal ser prorrogada. As divulgações externas são registadas no REG08 antes da divulgação, ou no REG10 no prazo de um dia útil quando a divulgação faça parte de uma resposta a incidentes ativa. A política também define a governação de serviços externalizados de monitorização e segurança física. Os prestadores de sistemas de monitorização externalizados, prestadores de vigilância, prestadores de gestão de visitantes e prestadores de controlo de acesso físico devem ser registados no REG08 antes do início do serviço, incluindo âmbito, estatuto de subcontratante ou subcontratante subsequente, permissões de acesso, suporte à retenção, suporte ao apagamento, escalonamento de incidentes e restrições à divulgação. A supervisão é mantida através de métricas trimestrais, revisões anuais, testes de auditoria, tratamento de exceções, registo de não conformidade, propriedade de ações corretivas e escalonamento para a alta direção quando necessário. Isto cria um quadro baseado em evidência para gerir obrigações de privacidade relativas a CCTV e monitorização física em contextos de responsável pelo tratamento e de subcontratante.