Política de Privacidade das Crianças

A Política de Privacidade das Crianças define requisitos obrigatórios de privacidade para o tratamento de dados pessoais que envolva crianças, serviços orientados para crianças, serviços suscetíveis de serem acedidos por crianças e outras atividades de tratamento em que os dados pessoais de crianças exijam salvaguardas reforçadas. Aplica-se em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, incluindo websites, aplicações, jogos, serviços educativos, plataformas online, serviços conectados, portais de clientes, ambientes de aprendizagem, comunidades e canais de suporte. A política foi concebida para assegurar que os dados pessoais de crianças são identificados, governados, minimizados, explicados, protegidos e evidenciados através de salvaguardas adequadas ao tratamento orientado para crianças e acessível a crianças. Uma característica central da política é a sua dependência de objetos de evidência existentes do PIMS, em vez de registos separados específicos para crianças. A política exige que o estado orientado para crianças, a probabilidade de acesso por crianças, as finalidades, as categorias de dados pessoais, as categorias de titulares dos dados, os destinatários e as referências de retenção sejam capturados no REG02. A triagem de riscos de privacidade e as decisões de AIPD são encaminhadas através do REG04. O consentimento, a autorização parental, o encaminhamento da retirada do consentimento e as referências dos recibos de consentimento são registados no REG05, quando aplicável. Os pedidos de exercício de direitos que envolvam crianças são geridos através do REG06, as versões de avisos adaptados a crianças através do REG07, as restrições aplicáveis a subcontratantes e à partilha de dados através do REG08, a evidência de incidentes através do REG10 e os registos de auditoria, ação corretiva e melhoria através do REG12. A política estabelece requisitos operacionais detalhados para transparência adaptada a crianças, consentimento, responsabilidade parental, minimização, retenção, participação no exercício de direitos, privacidade desde a conceção e controlo da divulgação. Antes da recolha de dados pessoais de crianças, os proprietários de processos ou proprietários do negócio devem confirmar que cada categoria de dados pessoais é necessária para a finalidade documentada e devem definir os dados mínimos de avaliação da idade necessários. Os serviços orientados para crianças devem aplicar definições por defeito protetoras da privacidade para recolha opcional, visibilidade, partilha, personalização e comunicações. Quando os dados pessoais de crianças envolvam categorias especiais, informação altamente sensível, localização, dados biométricos, comportamentais, comunicações, educação, saúde ou informação relacionada com segurança, é exigida revisão pelo Encarregado da Proteção de Dados ou assessor de proteção de dados, registada no REG04. A política também aborda cenários de maior risco, como definição de perfis, análise comportamental, personalização com efeitos significativos, decisões automatizadas, funcionalidades de recomendação, suspeita de utilização indevida, divulgação prejudicial, acesso não autorizado, exploração, risco relacionado com aliciamento e outros riscos de dados pessoais relacionados com segurança que envolvam crianças. Estes temas são encaminhados para processos de revisão de privacidade, tratamento de incidentes ou ação corretiva, utilizando o REG04, REG10 e REG12 conforme aplicável. Para fornecedores, subcontratantes, subcontratantes subsequentes e destinatários de partilha de dados, o Responsável por Fornecedores / Aquisição deve confirmar restrições documentadas relacionadas com crianças, instruções, confidencialidade, expetativas de devolução ou apagamento e obrigações de assistência no REG08 antes de ser autorizado o tratamento de dados pessoais de crianças. A governação e a supervisão são definidas através de revisões trimestrais de evidência, verificações de preparação para lançamento, auditorias anuais, tratamento de exceções, aplicação e revisão anual da política. O Responsável de Privacidade / Gestor do PIMS coordena a completude da evidência e o escalonamento nos registos relevantes, enquanto a alta direção aprova a abordagem de controlo da privacidade das crianças e revê não conformidades sistémicas. A política apoia a responsabilização preparada para auditoria ao exigir métricas de monitorização para atividades de tratamento orientadas para crianças, triagens para AIPD, questões abertas relativas a avisos ou consentimento, questões relativas a subcontratantes e partilha, não conformidades recorrentes e eficácia das ações corretivas, todas registadas no REG12 com evidência de origem dos registos aplicáveis.