Política de Exatidão e Qualidade das Informações Pessoais Identificáveis (PII)

A Política de Exatidão e Qualidade das Informações Pessoais Identificáveis (PII) define como uma organização mantém a exatidão, completude, atualidade, adequação e relevância das informações pessoais identificáveis tratadas no âmbito do Sistema de Gestão de Informação de Privacidade (PIMS). A sua finalidade declarada é assegurar que as PII utilizadas pela organização permanecem exatas e adequadas às finalidades do tratamento registadas no PIMS, e que PII inexatas, incompletas, desatualizadas ou contestadas são retificadas, sincronizadas ou escaladas mediante evidência controlada. A política aplica-se em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, tratando as obrigações do responsável pelo tratamento como primárias e aplicando as obrigações do subcontratante ou do subcontratante subsequente quando a organização apoia instruções do responsável pelo tratamento relacionadas com retificação, sincronização ou exatidão. A política está estruturada em torno de controlos operacionais práticos, e não de um programa autónomo de qualidade dos dados. Declara expressamente que não cria um registo separado de qualidade dos dados, uma função de governação de dados-mestre, um quadro de qualidade de dados analíticos ou um quadro de qualidade de dados de treino de IA. Em vez disso, integra requisitos de exatidão e qualidade nos registos e fluxos de trabalho existentes do PIMS. O REG02 é utilizado para registar a propriedade da exatidão, a fonte autoritativa, os sinalizadores de registo de alto impacto, a frequência de revisão da exatidão, os métodos de verificação da exatidão, as ligações entre sistemas e os indicadores de dados desatualizados. O REG06 é utilizado para reclamações de retificação originadas por titulares dos dados e para itens de retificação aceites. O REG08 apoia repartições entre responsáveis conjuntos pelo tratamento, obrigações de apoio à retificação de clientes, canais de instruções autorizados, evidência de subcontratantes e subcontratantes subsequentes, notificações a destinatários e confirmações a jusante. O REG12 consolida o estado da monitorização, lacunas, exceções, não conformidades, ações corretivas e evidência de revisão pela gestão. Uma característica central da política é o conceito de registo de alto impacto. A política define-o como um registo de PII utilizado para conceder, recusar, alterar ou afetar materialmente o acesso a um serviço, contrato, matéria laboral, resultado financeiro, resultado relacionado com a saúde, decisão de elegibilidade, decisão de identidade, decisão de risco ou outra decisão em que PII inexatas possam afetar materialmente um titular dos dados. Estes registos recebem controlos específicos: devem ser classificados no REG02 antes do início do tratamento pelo responsável pelo tratamento e anualmente depois disso, revistos pelo menos anualmente, e verificados antes de serem considerados quando as datas de revisão estejam vencidas. Os Proprietários de sistemas devem identificar indicadores de dados desatualizados para registos de sistemas de alto impacto antes da entrada em produção e no prazo de 30 dias após uma alteração material do sistema. Quando problemas de exatidão de alto impacto permanecem por resolver, são recorrentes ou ultrapassam datas limite aprovadas, a política exige escalonamento para o REG12 e, quando necessário, para a Alta Direção. O fluxo de trabalho de retificação liga o tratamento dos direitos dos titulares dos dados, a validação do negócio e a implementação técnica. As reclamações de retificação originadas por titulares dos dados são ligadas do REG06 à atividade de tratamento REG02 afetada no prazo de cinco dias úteis após a atribuição. Os itens de retificação aceites devem ser atribuídos tanto ao proprietário do processo ou proprietário do negócio como ao Proprietário do sistema ou proprietário da aplicação no prazo de dois dias úteis após a entrada em revisão substantiva. O proprietário do processo valida as retificações propostas face à fonte autoritativa, à finalidade do tratamento e ao registo REG02 atual no prazo de 10 dias úteis, enquanto o Proprietário do sistema implementa as retificações aprovadas no sistema de origem e regista a conclusão no REG06 e no REG02 no prazo de cinco dias úteis após a aprovação ou até à data limite aprovada. A política também exige parecer documentado antes da recusa de retificação, do encerramento contestado ou de decisões de retificação de alto impacto, e encaminha resultados de apagamento, restrição da retenção, eliminação ou apenas eliminação para o fluxo de trabalho relacionado quando a retificação por si só não é o resultado exigido. A sincronização e a supervisão também são expressamente tratadas. Antes de implementar uma retificação aprovada, devem ser identificados no REG02 os sistemas de origem relevantes, aplicações ligadas, réplicas, interfaces e relatórios. As retificações aprovadas devem então ser sincronizadas em todos os sistemas identificados dentro do âmbito, enquanto destinatários, subcontratantes ou partes de partilha de dados são acompanhados através do REG08 quando são necessárias atualizações a jusante. As métricas trimestrais incluem a percentagem de atividades de tratamento REG02 de alto impacto com revisão de exatidão atual, itens de retificação abertos e vencidos do REG06, e falhas de sincronização por resolver provenientes do REG08 e do REG12. As exceções devem ser solicitadas, avaliadas, limitadas no tempo a não mais de 90 dias, e encerradas ou reavaliadas. A política é revista anualmente e no prazo de 30 dias após uma alteração material legal, do tratamento, do sistema ou do âmbito de certificação, com alterações materiais aprovadas pela Alta Direção antes da publicação.