Política de Transferência Internacional de Dados Pessoais

A Política de Transferência Internacional de Dados Pessoais estabelece requisitos para identificar, aprovar, registar, rever, restringir e suspender transferências internacionais de dados pessoais. Aplica-se a atividades de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente quando os dados pessoais sejam disponibilizados a, acedidos a partir de, armazenados em, alojados em, divulgados a ou de outra forma transferidos para fora do perímetro de tratamento aprovado registado no REG02 ou no REG09. O âmbito inclui afiliadas internas, destinatários externos, subcontratantes, subcontratantes subsequentes, prestadores de serviços, acesso para suporte, localizações de alojamento, administração remota, transferências ulteriores, pedidos de divulgação de dados por autoridade pública estrangeira e alterações de serviço relacionadas com transferências. Uma característica central da política é a sua abordagem orientada por evidência. A política estabelece que as transferências internacionais devem ser identificadas antes do início ou alteração do tratamento, e que os registos de transferência aprovados devem ser mantidos no REG09. O REG09 é o principal objeto de evidência de transferência, enquanto o REG02, o REG08 e o REG12 fornecem evidência de suporte para atividades de tratamento, relações com fornecedores e subcontratantes, exceções, não conformidades, ações corretivas e revisão pela gestão. Os campos REG09 exigidos incluem destino da transferência, destinatário, papel PIMS, mecanismo de transferência, evidência de suporte, data de revisão e proprietário. Esta estrutura destina-se a ajudar a organização a demonstrar governação responsável das transferências sem criar registos duplicados de avaliação de impacto da transferência ou de Cláusulas Contratuais-Tipo (SCC). A política define controlos para a seleção, aprovação e revisão de risco do mecanismo de transferência. Para transferências realizadas pelo responsável pelo tratamento, o Responsável de Privacidade / Gestor do PIMS regista o mecanismo de transferência aprovado e a evidência de suporte no REG09 antes do início da transferência. O Encarregado da Proteção de Dados / Assessor de Privacidade revê a evidência do mecanismo de transferência antes da aprovação de transferências internacionais de dados pessoais novas, materialmente alteradas ou de maior risco, e conclui a revisão de risco de transferência quando acionada. Quando sejam utilizadas salvaguardas técnicas, o Responsável de Segurança da Informação regista o estado de dependência da salvaguarda técnica no REG09 ou no REG12. Se o risco residual de transferência for elevado, a Alta Direção deve aprovar a continuação da operação de transferência no REG12 antes da aceitação desse risco. A governação de subcontratantes, subcontratantes subsequentes e transferências ulteriores também é abordada. O Proprietário de Fornecedores / Aquisição deve obter autorização ou instrução documentada do cliente no REG08 e no REG09 antes de iniciar transferências internacionais de dados pessoais por subcontratantes, registar a autorização de subcontratantes subsequentes e as condições de transferência em cadeia, e impedir transferências ulteriores por subcontratantes ou subcontratantes subsequentes até que a autorização do cliente esteja registada. A política também exige que as rotas de transferência ulterior, categorias de destinatários, restrições e obrigações sejam registadas antes da aprovação. Os pedidos de divulgação de dados por autoridade pública estrangeira devem ser registados no REG09 ou no REG12 antes da divulgação, quando praticável, ou no prazo de um dia útil quando o registo prévio não for praticável, e os pedidos relevantes para a privacidade devem receber revisão por assessor de privacidade quando praticável. A governação contínua é tratada através de requisitos definidos de revisão, medição, exceção e aplicação. Os registos de transferência ativos são revistos pelo menos anualmente e no prazo de 30 dias após uma alteração material da transferência, enquanto o Responsável de Privacidade / Gestor do PIMS revê, pelo menos trimestralmente, revisões de transferências em atraso, registos incompletos, transferências suspensas e exceções de transferência abertas. As métricas incluem a percentagem de registos REG09 ativos com evidência completa do mecanismo de transferência, revisões de transferências em atraso, transferências suspensas ou adiadas, evidência de subcontratantes ou terceiros em atraso, e atividades de tratamento REG02 sem correspondência com potenciais indicadores de transferência internacional. As exceções devem ser registadas no REG12 antes de se tornarem ativas, ter um proprietário, data de expiração, controlo compensatório e frequência de revisão atribuídos, e ser revistas pelo menos mensalmente até ao encerramento. As não conformidades devem ser registadas quando sejam identificadas transferências não registadas, mecanismos não suportados, autorização em falta, revisões em atraso, evidência de transferência ulterior em falta ou continuação não autorizada.