policy ISO 27701 PIMS Policy Pack

Política de Gestão de Consentimento e Preferências

Política de consentimento ISO 27701 para recolha lícita de consentimento, alterações de preferências, tratamento da retirada do consentimento, registos de evidência e governação do PIMS preparada para auditoria.

Visão geral

Esta política rege o consentimento lícito e a gestão de preferências em contextos de responsável pelo tratamento, subcontratante, responsável conjunto pelo tratamento e subcontratante subsequente. Define como o consentimento é solicitado, registado no REG05, ligado ao REG02 e ao REG07, retirado, atualizado, protegido, medido, auditado e corrigido.

Evidência de consentimento auditável

Define o REG05 como registo autoritativo do estado do consentimento, redação, versão do aviso, marcações temporais, métodos e histórico.

Tratamento controlado da retirada do consentimento

Exige que a retirada do consentimento e as alterações de preferências sejam registadas e executadas dentro de prazos operacionais definidos ou de prazos de instrução do cliente.

Alinhamento com o fundamento de licitude

Assegura que o consentimento é utilizado apenas quando adequado e ligado às finalidades do tratamento do REG02 e às versões do aviso de privacidade do REG07.

Ler visão geral completa (click to expand)
A Política de Gestão de Consentimento e Preferências define requisitos obrigatórios para determinar quando o consentimento é necessário, solicitar consentimento, recolher evidência de consentimento, gerir preferências, processar retiradas do consentimento, manter registos de consentimento e rever mecanismos de consentimento. Aplica-se ao tratamento de informações pessoais identificáveis (PII) quando o consentimento é selecionado ou exigido como fundamento de licitude, quando é exigido consentimento explícito, quando são recolhidas preferências de consentimento ou quando a organização gere registos de consentimento em nome de um responsável pelo tratamento. A política abrange contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, deixando claro que as obrigações de subcontratantes e subcontratantes subsequentes se aplicam apenas quando registos de consentimento, estados de preferência ou instruções de retirada do consentimento são geridos ao abrigo de instruções documentadas do responsável pelo tratamento ou do cliente. Um princípio central da política é que o consentimento não é o fundamento de licitude por defeito para o tratamento de informações pessoais identificáveis (PII). Antes de uma atividade de tratamento nova ou materialmente alterada se basear no consentimento, o proprietário de processos ou proprietário do negócio deve registar no REG02 se o consentimento é exigido ou selecionado, e o Líder de Privacidade ou Gestor do PIMS deve verificar no REG02 e no REG05 que o consentimento não foi selecionado por defeito. Quando o tratamento envolve categorias especiais de PII, serviços orientados para crianças, tratamento de alto risco ou um desequilíbrio entre a organização e o titular dos dados, o Encarregado da Proteção de Dados ou assessor de proteção de dados deve rever a base de consentimento no REG04 antes do lançamento. Para atividades de responsável conjunto pelo tratamento, a responsabilidade por obter, registar, atualizar e respeitar o consentimento deve ser documentada antes do início do tratamento. A política estabelece requisitos operacionais detalhados para o pedido e a recolha de consentimento. Os pedidos de consentimento devem ser específicos por finalidade e ligados à versão aplicável do aviso de privacidade do REG07 antes da apresentação ao titular dos dados. Os sistemas devem exigir uma ação afirmativa quando for exigido consentimento explícito ou opt-in e devem impedir que o tratamento baseado no consentimento prossiga, salvo se o REG05 demonstrar um estado de consentimento ativo para a finalidade relevante. O REG05 deve recolher a referência do titular dos dados, a finalidade, a categoria de PII, a redação ou versão do consentimento, a versão do aviso de privacidade, o canal de recolha, a marcação temporal, o método, o estado e o período de validade aplicável. Quando se aplique consentimento orientado para crianças ou consentimento explícito, são desencadeados requisitos adicionais de lógica, marcação e revisão. A gestão de preferências e da retirada do consentimento também é regida através do REG05 e, quando aplicável, do REG08. Um mecanismo de retirada do consentimento ou de alteração de preferências deve estar disponível, no máximo, no momento em que o consentimento é solicitado. As retiradas do consentimento e alterações de preferências devem ser registadas no prazo de cinco dias úteis após a receção ou dentro de um prazo mais curto definido para a atividade de tratamento. Os sistemas afetados, estados de supressão ou indicadores de preferência devem ser atualizados antes de prosseguir qualquer tratamento adicional para uma finalidade retirada ou restringida. Os subcontratantes devem encaminhar ou implementar as instruções do cliente dentro do prazo definido pelo cliente, e os subcontratantes subsequentes devem ser verificados através do REG08 face aos prazos contratuais ou instruídos. A política também aborda controlo de alterações, proteção dos registos, governação, implementação, métricas, exceções, aplicação e manutenção. O consentimento deve ser reavaliado antes de o tratamento prosseguir quando a finalidade, as categorias de PII, a identidade do responsável pelo tratamento, a redação do aviso, a retenção, a categoria de destinatários ou o método de tratamento se alterem materialmente. A redação do consentimento, a configuração do mecanismo, as referências do aviso e os schemas dos registos de consentimento devem ser sujeitos a controlo de versões. Os registos do REG05 devem ser protegidos contra alteração não autorizada, e deve ser mantida evidência de rasto de auditoria. As métricas incluem verificações trimestrais de ligação entre REG05, REG02 e REG07; medição mensal da conclusão de retiradas do consentimento quando o tratamento baseado no consentimento está ativo; e reporte de auditoria no REG12. As exceções devem ser aprovadas antes da implementação, e as não conformidades que envolvam evidência de consentimento em falta, inválida, não ligada ou não fiável devem ser registadas no prazo de cinco dias úteis.

Diagrama da Política

Diagrama de fluxo do processo que mostra a revisão da aplicabilidade do consentimento, confirmação do fundamento de licitude, ligação ao aviso, recolha do consentimento no REG05, atualizações de preferências ou retirada do consentimento, proteção da evidência, métricas, revisão de auditoria, exceções e ação corretiva.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Aplicabilidade do consentimento e fundamento de licitude

Pedido e recolha de consentimento

Gestão de preferências e retirada do consentimento

Alteração, atualização e controlo de versões do consentimento

Registos, evidência e proteção

Métricas, exceções e aplicação

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Políticas relacionadas

Política de Inventário de Tratamento e Fundamento de Licitude

As decisões de consentimento dependem dos registos de fundamento de licitude do REG02 e da ligação ao inventário de tratamento ao nível da finalidade.

Política de Aviso de Privacidade e Transparência

Os pedidos de consentimento devem ser ligados à versão aplicável do aviso de privacidade do REG07 antes da apresentação.

Política de Gestão dos Direitos dos Titulares dos Dados

O tratamento da retirada do consentimento e das alterações de preferências apoia a gestão mais ampla dos direitos dos titulares dos dados.

Política de Avaliação de Riscos de Privacidade e AIPD

A revisão do REG04 é exigida para desencadeadores de alto risco, como PII de categoria especial, serviços orientados para crianças ou desequilíbrio.

Política de Gestão de Privacidade de Subcontratantes, Subcontratantes Subsequentes e Terceiros

As obrigações de subcontratantes, subcontratantes subsequentes, fornecedores e instruções do cliente são geridas através de ligações ao REG08.

Política de Gestão de Informação Documentada e Evidência do PIMS

A governação do consentimento depende de objetos de evidência controlados, especialmente registos do REG05 e exceções ou constatações do REG12.

Sobre as Políticas Clarysec - Política de Gestão de Consentimento e Preferências

Esta política estabelece a governação operacional da gestão de consentimento e preferências no âmbito do PIMS. Define quando o consentimento pode ser utilizado, como os pedidos de consentimento devem ser apresentados, que evidência deve ser recolhida, como são tratadas as alterações de preferências e as retiradas do consentimento, e como os registos são revistos, protegidos, corrigidos e retidos. A política é detida pelo Líder de Privacidade / Gestor do PIMS, aprovada pela alta direção, e aplica-se em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente quando estejam envolvidos registos de consentimento, estados de preferência ou instruções de retirada do consentimento.

Consentimento não por defeito

Exige verificações do REG02 e do REG05 para que o consentimento seja utilizado apenas quando adequado para a atividade de tratamento.

Ligação à versão do aviso

Liga os pedidos e registos de consentimento à versão aplicável do aviso de privacidade do REG07 antes do início do tratamento.

Cumprimento da retirada do consentimento

Define deveres de registo e atualização de sistemas para retiradas do consentimento e alterações de preferências dentro dos prazos exigidos.

Registos protegidos

Exige que a evidência de consentimento do REG05 seja protegida contra alteração não autorizada com evidência de rasto de auditoria.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

Privacidade Jurídico Conformidade Segurança de TI Gabinete do EPD

🏷️ Cobertura temática

Gestão de informação de privacidade Tratamento de dados pessoais Consentimento e fundamento de licitude Registos de tratamento Responsabilidades do responsável pelo tratamento e do subcontratante Gestão de terceiros Monitorização e medição
€69

Compra única

Download instantâneo
Atualizações vitalícias

Esta política é 1 de 25 no Pacote PIMS ISO/IEC 27701 completo

Poupe 52%

Obtenha todas as 25 políticas PIMS, o conjunto completo de registos e um plano de implementação detalhado por €799, em vez de €1.675 individualmente.

Ver Pacote 27701 completo →
Consent and Preference Management Policy

Detalhes do produto

Tipo: policy
Categoria: ISO 27701 PIMS Policy Pack
Padrões: 5