Política de Gestão de Incidentes e Violações de Dados Pessoais

A Política de Gestão de Incidentes e Violações de Dados Pessoais define como uma organização identifica, comunica, tria, avalia, contém, notifica, documenta, encerra e melhora a partir de incidentes de dados pessoais e violações de dados pessoais no âmbito do Sistema de Gestão da Informação de Privacidade (PIMS). A sua finalidade declarada é assegurar que os incidentes e violações são tratados de forma consistente, pronta, lícita, segura e com evidência preparada para auditoria. A política aplica-se em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, e abrange sistemas, aplicações, serviços, processos, fornecedores, subcontratantes, subcontratantes subsequentes e terceiros que tratem, armazenem, transmitam, suportem, acedam ou de outro modo afetem dados pessoais no âmbito do PIMS. Uma característica central da política é o seu modelo integrado de evidência. O REG10 — Registo de Incidentes e Violações de Dados Pessoais é o objeto de evidência principal para a gestão de incidentes e violações, enquanto os registos de suporte fornecem contexto e rastreabilidade. O REG01 suporta contexto de âmbito, jurídico, contratual, setorial, de cliente e de reporte. O REG02 liga atividades de tratamento afetadas, categorias de dados pessoais, categorias de titulares dos dados, finalidades e sistemas. O REG04 suporta a ligação a risco de privacidade, AIPD e risco residual. O REG08 regista interfaces de incidentes com subcontratantes, subcontratantes subsequentes, clientes, fornecedores e terceiros. O REG09 é utilizado quando os incidentes afetam tratamento transfronteiriço, o REG11 suporta evidência de formação e competência, e o REG12 captura evidência de auditoria, não conformidade, ação corretiva e melhoria. Esta estrutura ajuda a assegurar que os registos de incidentes não ficam isolados do PIMS mais amplo. A política estabelece requisitos detalhados de preparação, receção, classificação, avaliação da violação de dados pessoais, contenção, recuperação, notificação, comunicações, proteção da evidência e lições aprendidas. Os incidentes suspeitos de dados pessoais devem ser registados prontamente, com cada incidente suspeito comunicado ou detetado inscrito no REG10 no prazo de um dia útil após a receção, ou antes quando possam ser acionados prazos de notificação ou de reporte ao cliente. A triagem técnica de eventos de segurança que envolvam dados pessoais deve ser concluída no prazo de 24 horas após a deteção, e cada entrada no REG10 deve ser classificada como evento sem dados pessoais, incidente suspeito de dados pessoais, incidente confirmado de dados pessoais ou violação confirmada de dados pessoais no prazo de 24 horas após a receção, salvo se o motivo da classificação pendente estiver documentado. Para a avaliação da violação de dados pessoais, a política exige a identificação das atividades de tratamento afetadas, categorias de dados pessoais, categorias de titulares dos dados, sistemas, subcontratantes, subcontratantes subsequentes, localizações de transferência e riscos de privacidade antes da finalização das decisões de notificação. As obrigações de notificação e comunicação são separadas por função. Para responsáveis pelo tratamento, a política exige decisões documentadas de notificação regulamentar para cada violação confirmada de dados pessoais sem demora injustificada, com a notificação, a justificação de não notificação ou a justificação de atraso retidas no REG10. Quando a comunicação aos titulares dos dados afetados é acionada, a política exige que o conteúdo, o público-alvo, o calendário, o método de entrega e a evidência de aprovação sejam registados. Para subcontratantes e subcontratantes subsequentes, a política exige notificação aos responsáveis pelo tratamento afetados, clientes, subcontratantes a montante ou canais contratuais aprovados sem demora injustificada e dentro dos prazos contratuais aplicáveis. Para incidentes de alto impacto relativos a dados pessoais, exige também a avaliação de acionadores de reporte jurídicos, setoriais, do setor financeiro, de cibersegurança, contratuais, de clientes e de destinatários de serviços, quando aplicável. A governação, a medição e a melhoria estão incorporadas no processo. O Responsável de Privacidade / Gestor do PIMS é proprietário do processo de gestão de incidentes e violações e deve assegurar que o REG10 é mantido até ao encerramento. O Coordenador de Resposta a Incidentes gere a receção, triagem, fluxo de trabalho de contenção, acompanhamento do estado, encerramento e lições aprendidas. A Segurança da Informação lidera a investigação técnica, contenção, erradicação, recuperação, preservação da evidência e análise de causa raiz quando estejam envolvidos sistemas ou controlos de segurança. A Alta Direção recebe escalonamento para incidentes confirmados de alto impacto relativos a dados pessoais no prazo de 24 horas após a classificação e revê incidentes de alto impacto, violações notificáveis, ações corretivas em atraso e impactos materiais durante a revisão pela gestão. As métricas incluem volumes de incidentes, prazos de classificação e contenção, tempestividade das notificações, antiguidade das ações corretivas, desempenho de resposta de terceiros e conclusão de exercícios. A política também exige revisão anual, revisão pós-incidente após incidentes de alto impacto ou violações confirmadas, e revisão anual pela Auditoria Interna da implementação.