Política de Gestão dos Direitos do Titular dos Dados

A Política de Gestão dos Direitos do Titular dos Dados estabelece a abordagem obrigatória da organização para gerir pedidos apresentados pelos titulares dos dados ou pelos seus representantes autorizados. O seu âmbito abrange todo o ciclo de vida do tratamento de pedidos de exercício de direitos: receção, validação, avaliação, cumprimento, recusa, prorrogação, encerramento, monitorização e documentação de evidência dos pedidos. Aplica-se a acesso, retificação, apagamento, limitação, portabilidade, oposição, decisões automatizadas, encaminhamento da retirada do consentimento, reclamações e pedidos de esclarecimento relacionados. A política foi concebida para contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, sendo os deveres de subcontratantes e subcontratantes subsequentes aplicáveis quando é prestado apoio a um responsável pelo tratamento, cliente ou subcontratante a montante ao abrigo de instruções documentadas. A finalidade da política é assegurar que os pedidos de exercício de direitos dos titulares dos dados são tratados de forma consistente, lícita, segura, dentro de prazos definidos e com evidência preparada para auditoria. Exige que cada pedido seja registado no REG06 no prazo de dois dias úteis após a receção e classificado antes do início da avaliação. Os campos de classificação obrigatórios incluem tipo de pedido, canal do pedido, data do pedido, referência de identidade do requerente, proprietário designado, data-limite interna, data-limite legal ou contratual e estado atual. Para responsáveis pelo tratamento, o Responsável de Privacidade / Gestor do PIMS deve acusar a receção ou fornecer a comunicação seguinte exigida no prazo de cinco dias úteis após a receção. Os pedidos também devem ser ligados às atividades de tratamento REG02 relevantes antes de as ações de cumprimento serem atribuídas, assegurando que as decisões de resposta se baseiam em registos de tratamento, finalidades, categorias de dados pessoais, sistemas, destinatários e restrições de retenção. Uma ênfase operacional importante é a verificação de identidade e a avaliação segura. Antes de divulgar dados pessoais ou efetuar as alterações solicitadas, o Responsável de Privacidade / Gestor do PIMS deve verificar no REG06 a identidade do requerente ou os poderes de representação. Quando a identidade ou os poderes de representação forem insuficientes, apenas pode ser solicitada a informação adicional mínima necessária para a verificação. A política atribui pedidos de alto risco, contestados, pouco claros, excessivos, repetidos, recusados ou parcialmente cumpridos ao Encarregado da Proteção de Dados / Assessor de Privacidade para revisão antes de a decisão ser comunicada. Exige também a revisão, pelo Proprietário do sistema / Proprietário da aplicação, dos extratos de resposta para excluir dados pessoais não relacionados e dados de terceiros não autorizados, bem como a revisão, pelo Responsável de Segurança da Informação, dos métodos de entrega antes da divulgação de dados pessoais em grande volume, sensíveis, de categoria especial ou de alto risco. Os requisitos de cumprimento são específicos da natureza do direito. Os Proprietários do negócio devem fornecer os resultados das pesquisas de acesso o mais tardar dez dias úteis antes do prazo de resposta. Os Proprietários de sistemas devem concluir as ações aprovadas de retificação, apagamento, limitação ou supressão e registar a evidência de conclusão no REG06. Os pacotes de resposta de acesso e portabilidade devem ser entregues por um método autorizado, com a evidência de entrega registada antes do encerramento. Os pedidos de oposição devem ser avaliados e registados antes de o tratamento objeto de oposição continuar ou cessar. Os pedidos que envolvam decisões exclusivamente automatizadas exigem revisão antes de a organização fornecer um resultado, uma via de revisão humana ou a fundamentação da recusa. Quando os resultados aprovados exigirem notificação a subcontratantes, subcontratantes subsequentes, responsáveis conjuntos pelo tratamento, destinatários ou partes envolvidas na partilha de dados registadas no REG08, o Responsável de Fornecedores / Aquisição deve coordenar essa notificação. A política também define requisitos de governação, medição, exceção e aplicação. O Responsável de Privacidade / Gestor do PIMS é proprietário do fluxo de trabalho de pedidos de exercício de direitos, da estrutura do REG06, dos prazos, das regras de atribuição e dos critérios de encerramento, com revisão pelo menos anual e atualizações após alteração material. As métricas incluem medição mensal dos pedidos por tipo, estado, proprietário do negócio e atividade de tratamento, reporte mensal de itens em atraso, medição trimestral das taxas de recusa, cumprimento parcial e prorrogação, e revisão trimestral de temas recorrentes, reclamações, disputas e ações corretivas. As auditorias planeadas devem selecionar uma amostra de registos REG06 encerrados e registar no REG12 constatações sobre qualidade da evidência, tempestividade e encerramento. As exceções devem ser aprovadas no REG12 antes da implementação, com datas de expiração, proprietários e controlos compensatórios atribuídos. As disposições de aplicação exigem não conformidades, escalonamento de falta de cooperação de terceiros, atribuição pela gestão da propriedade das ações corretivas para falhas sistémicas e revisão REG10 quando uma não conformidade sugira divulgação não autorizada, perda, alteração, indisponibilidade ou outro incidente suspeito relativo a dados pessoais.