Política de Recolha, Utilização, Divulgação e Partilha de Informações Pessoais Identificáveis (PII)

A Política de Recolha, Utilização, Divulgação e Partilha de Informações Pessoais Identificáveis (PII) define requisitos operacionais para a forma como as informações pessoais identificáveis são recolhidas, utilizadas, divulgadas e partilhadas no âmbito do PIMS. A sua finalidade declarada é assegurar que as informações pessoais identificáveis (PII) são tratadas apenas para finalidades documentadas, aprovadas, limitadas e sujeitas a responsabilização. A política aplica-se a contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, e abrange a recolha através de canais diretos, indiretos, automatizados, manuais, internos, externos e de terceiros. Também trata a utilização interna aprovada por processos de negócio, sistemas e aplicações, a utilização secundária para finalidades novas ou materialmente alteradas, a divulgação externa a destinatários e terceiros, bem como acordos recorrentes de partilha de dados e divulgações pontuais. Uma característica central da política é a utilização de registos de evidência para ligar decisões de privacidade a registos auditáveis. O REG02 é utilizado para o inventário de tratamento de PII, finalidades aprovadas, regras de recolha, regras de utilização e verificações de compatibilidade de utilização secundária. O REG08 é utilizado para registos de subcontratantes, subcontratantes subsequentes e partilha de dados, incluindo identidade do destinatário, função do destinatário, finalidade da divulgação, categorias de PII, frequência de partilha, local de tratamento e fonte de autoridade. O REG09 é utilizado quando a partilha envolve um novo país, organização internacional, local de acesso remoto, local do destinatário ou local de transferência ulterior. O REG12 é utilizado para exceções, não conformidades, constatações de auditoria, ações corretivas, questões bloqueadoras de implementação e registos de revisão da política. A política estabelece pontos de controlo claros antes do início do tratamento. Os Proprietários de processos ou Proprietários do negócio devem registar no REG02 as finalidades de recolha, fontes ou canais, categorias de PII, categorias de titulares dos dados e elementos mínimos de dados antes do início de uma nova recolha ou de uma alteração material. Devem também documentar uma justificação de necessidade para cada elemento de dados PII antes da recolha. Os Proprietários de sistemas ou Proprietários de aplicações só podem implementar campos de recolha, campos de fluxo de trabalho, relatórios, exportações ou saídas de divulgação aprovados que correspondam à aprovação no REG02 ou no REG08. Em contextos de subcontratante, o alinhamento com as instruções do cliente deve ser registado antes de as informações pessoais identificáveis (PII) do cliente serem recolhidas, utilizadas ou divulgadas. A utilização secundária é tratada como uma decisão sujeita a governação, e não como uma extensão informal de uma atividade existente. Antes de as informações pessoais identificáveis (PII) serem utilizadas para uma finalidade ainda não aprovada no REG02, o Proprietário do processo ou o Proprietário do negócio deve registar uma verificação de compatibilidade que abranja a finalidade original, a finalidade proposta, a dependência do fundamento de licitude, as categorias de PII, as expectativas dos titulares dos dados, a fundamentação da minimização, o impacto da divulgação ou transferência e o encaminhamento para outras políticas do PIMS, quando necessário. O Responsável de Privacidade ou o Gestor do PIMS deve registar uma aprovação ou rejeição antes do início da utilização secundária. Quando estejam envolvidos partilhas recorrentes sensíveis, titulares dos dados vulneráveis, registos de alto impacto ou expectativas materialmente alteradas, deve ser registado o parecer do Encarregado da Proteção de Dados ou do assessor de proteção de dados antes da aprovação. A governação, a medição e o cumprimento estão incorporados na política. O Responsável de Privacidade ou o Gestor do PIMS revê as regras de utilização aprovada pelo menos anualmente, reconcilia as finalidades aprovadas no REG02 com os registos ativos de partilha no REG08 pelo menos anualmente e regista os resultados no REG12. Os Proprietários de fornecedores ou de aquisição reconciliam as entradas ativas de partilha no REG08 com as relações ativas com subcontratantes, subcontratantes subsequentes, destinatários e partilha de dados pelo menos trimestralmente. A Auditoria interna ou os Revisores de Conformidade fazem amostragem da evidência REG02, REG08 e REG09 anualmente e registam os resultados no REG12. Recolha, utilização, divulgação ou partilha não aprovada deve ser registada como não conformidade no prazo de cinco dias úteis, e o tratamento pode ser suspenso no prazo de um dia útil quando não exista evidência aprovada.