Política de Gestão de Incidentes de Dados Pessoais e Violações de Dados Pessoais do Setor Financeiro

A Política de Gestão de Incidentes de Dados Pessoais e Violações de Dados Pessoais do Setor Financeiro define requisitos para identificar, reportar, triar, classificar, avaliar, conter, notificar, documentar, encerrar e melhorar com base em incidentes de dados pessoais e violações de dados pessoais em âmbitos PIMS do setor financeiro. Aplica-se quando a organização atua como responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante ou subcontratante subsequente em contexto do setor financeiro, e abrange também sistemas, aplicações, serviços, processos, fornecedores, subcontratantes, subcontratantes subsequentes e terceiros que tratem, armazenem, transmitam, apoiem, acedam ou afetem de outro modo dados pessoais no âmbito. A política foi concebida explicitamente como uma variante de substituição para o setor financeiro da PII15 e exige que as organizações selecionem a PII15 ou a PII15-FS para o mesmo âmbito, a fim de evitar obrigações, registos e trabalho de evidência de auditoria duplicados. A finalidade da política é assegurar que os incidentes de dados pessoais e as violações de dados pessoais são tratados de forma consistente, tempestiva, lícita, segura e com evidência preparada para auditoria. O REG10 — Registo de Incidentes de Dados Pessoais e Violações de Dados Pessoais é estabelecido como o objeto de evidência principal, enquanto os registos de suporte ligam o registo do incidente ao modelo de evidência mais amplo do PIMS. O REG01 é utilizado para o contexto de âmbito, partes interessadas, setor, cliente, contrato e reporte. O REG02 liga as atividades de tratamento afetadas, categorias de dados pessoais, categorias de titulares dos dados, finalidades, sistemas e serviços. O REG03 captura atualizações da Declaração de Aplicabilidade e da aplicabilidade dos controlos, incluindo a substituição da PII15 pela PII15-FS. O REG04 apoia a ligação à avaliação de riscos de privacidade, AIPD, risco residual e tratamento, enquanto o REG08, REG09, REG11 e REG12 abrangem interfaces de terceiros, transferências internacionais, formação e evidência de auditoria ou de ação corretiva. Operacionalmente, a política exige que cada incidente de dados pessoais suspeito do setor financeiro comunicado ou detetado seja registado no REG10 no prazo de um dia útil após a receção, ou antes, quando possam ser desencadeados prazos de notificação, de cliente ou de reporte. Os incidentes devem ser classificados no prazo de 24 horas após a receção, como evento não relacionado com dados pessoais, incidente suspeito de dados pessoais, incidente confirmado de dados pessoais, violação confirmada de dados pessoais, incidente de dados pessoais do setor financeiro, incidente grave do setor financeiro, ciberameaça significativa ou entrada pendente de classificação. A avaliação da violação de dados pessoais deve considerar os dados pessoais afetados, titulares dos dados, sistemas, serviços, atividades de tratamento, subcontratantes, subcontratantes subsequentes, transferências, riscos, clientes, contrapartes e ações de remediação. A política também exige preservação de evidência, contenção dentro de prazos definidos, validação da recuperação e decisões de encerramento documentadas que incluam classificação, decisão de notificação, estado de contenção, estado de recuperação, risco residual, ações corretivas e completude da evidência. A política distingue as obrigações de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente. Os responsáveis pelo tratamento devem registar decisões de notificação de violação de dados pessoais, preparar evidência de notificação à autoridade de controlo quando exigido, e rever a comunicação ao titular dos dados quando seja identificado risco elevado. Os subcontratantes e subcontratantes subsequentes devem avaliar instruções do cliente, obrigações contratuais de notificação, cadeias de notificação a montante e requisitos de encaminhamento de evidência, com registos mantidos no REG08 e no REG10. As responsabilidades dos responsáveis conjuntos pelo tratamento devem ser coordenadas e documentadas antes dos prazos aplicáveis de notificação externa. Para incidentes de alto impacto relativos a dados pessoais no setor financeiro e ciberameaças significativas, o Coordenador de Resposta a Incidentes deve avaliar os desencadeadores de reporte regulamentar do setor financeiro e reter a evidência da decisão no REG10. A governação, a medição e a melhoria estão integradas no ciclo de vida da política. O Responsável de Privacidade / Gestor do PIMS deve rever os incidentes REG10 em aberto, pelo menos semanalmente, até ao encerramento, e a alta direção deve receber escalonamento de incidentes confirmados de alto impacto do setor financeiro, incidentes graves ou ciberameaças significativas no prazo de 24 horas após a classificação. As métricas incluem contagens mensais de incidentes suspeitos e confirmados, violações de dados pessoais, incidentes graves do setor financeiro e ciberameaças significativas, bem como tempestividade da notificação de violação de dados pessoais, tempestividade do reporte do setor financeiro, contenção, recuperação, validação do restauro e desempenho da resposta de terceiros. A política exige ainda revisão anual, revisão pós-incidente após eventos relevantes, revisão de auditoria interna, gestão de exceções, aplicação através de não conformidades REG12 e formação corretiva através do REG11 quando ocorram falhas de sensibilização ou comunicação.