Política de Gestão de Informação Documentada e Evidência do PIMS

A Política de Gestão de Informação Documentada e Evidência do PIMS define requisitos obrigatórios para controlar o ciclo de vida completo da informação documentada do Sistema de Gestão de Informação de Privacidade. O seu âmbito abrange a criação, aprovação, controlo de versões, proteção, retenção, recuperação, tradução, retirada e produção de evidência dos registos do PIMS. A política aplica-se a políticas do PIMS, registos, aprovações documentadas, registos de evidência, evidência de auditoria, registos da revisão pela gestão, evidência de ações corretivas e traduções controladas usadas para demonstrar a conformidade do PIMS. Foi elaborada para contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, tornando-a aplicável às funções que uma organização pode desempenhar ao tratar PII. Uma característica central da política é a sua dependência dos objetos canónicos de evidência do PIMS REG01 a REG12, em vez da criação de um registo separado de controlo documental. A política estabelece que a evidência de controlo da informação documentada é mantida através destes objetos de evidência, com REG03 e REG12 especificamente usados para aplicabilidade de controlos, auditoria, não conformidade, ação corretiva e evidência de melhoria. Esta abordagem destina-se a evitar burocracia desnecessária de controlo documental, preservando registos preparados para auditoria para certificação, garantia para clientes e melhoria contínua. O REG12 é amplamente utilizado para o índice de informação documentada, níveis de acesso, classificações de sensibilidade, estado de aprovação, histórico de versões, pedidos de recuperação, aprovações de divulgação, categorias de retenção, estado de retirada, exceções e acompanhamento de ações corretivas. A política estabelece controlos detalhados para criação, aprovação, controlo de versões e publicação. Antes de publicar informação documentada do PIMS, o Responsável de Privacidade / Gestor do PIMS deve atribuir em REG12 um identificador documental, proprietário, número da versão, estado de aprovação, data de entrada em vigor e data de revisão. A alta direção deve aprovar as políticas nucleares do PIMS e alterações materiais às políticas antes da publicação, enquanto o Responsável de Privacidade / Gestor do PIMS aprova modelos de evidência ou secções incorporadas de registos antes da utilização operacional. A política também exige que o histórico de versões e a justificação das alterações sejam registados antes da publicação e que a comunicação das alterações aprovadas seja registada em REG11 no prazo de 30 dias após a publicação. A qualidade e a rastreabilidade da evidência são tratadas como requisitos operacionais, não como tarefas documentais opcionais. O Responsável de Privacidade / Gestor do PIMS deve definir convenções de nomenclatura da evidência, reconciliar trimestralmente e antes de uma auditoria externa as referências de controlos em REG03 com os registos de evidência das políticas, e aplicar a convenção aprovada de nomenclatura de exportação antes de a evidência ser partilhada para auditoria de certificação, garantia para clientes ou resposta regulamentar. Os proprietários de processos / proprietários do negócio devem assegurar que a evidência de tratamento inclui o proprietário da evidência, a data, a referência da atividade de tratamento, o estado da decisão e o estado de aprovação antes de ser usada para auditoria. A auditoria interna / os revisores de conformidade devem registar lacunas de completude, exatidão ou rastreabilidade durante auditorias programadas ou revisões de conformidade. A política também define controlos para acesso, proteção, recuperação, divulgação, retenção, retirada, arquivo, eliminação e controlo de versões multilingues. As restrições de acesso ao repositório devem ser registadas antes da concessão de acesso e revistas trimestralmente, e o acesso a evidência do PIMS que contenha PII deve ser aprovado antes de ser concedido. As divulgações de evidência a auditores externos, clientes, subcontratantes, responsáveis pelo tratamento, autoridades de controlo ou outras partes externas exigem que a aprovação e o âmbito da divulgação sejam registados. As versões obsoletas devem ser retiradas dentro dos prazos definidos, as versões anteriores aprovadas das políticas devem ser preservadas, e o arquivo ou a eliminação não devem ocorrer até que tenham sido verificadas dependências de preservação para auditoria, preservação legal, investigação de incidentes ou ações corretivas. Métricas, tratamento de exceções, aplicação e requisitos de revisão anual asseguram que a informação documentada permanece atual, recuperável, protegida e alinhada com as necessidades de conformidade do PIMS.