Política de Monitorização, Auditoria e Melhoria do PIMS

A Política de Monitorização, Auditoria e Melhoria do PIMS define os requisitos da organização para avaliar o desempenho do Sistema de Gestão da Informação de Privacidade em matéria de monitorização, medição, análise, avaliação, auditoria interna, revisão pela gestão, tratamento de não conformidades, ação corretiva e melhoria contínua. A sua finalidade declarada é assegurar que a organização avalia o desempenho do PIMS, verifica a conformidade do PIMS, identifica não conformidades, corrige deficiências de controlo e melhora continuamente o PIMS com base em evidência objetiva. A política aplica-se a todos os processos, controlos, políticas, registos, objetos de evidência, sistemas, fornecedores, subcontratantes, subcontratantes subsequentes e acordos de partilha de dados no âmbito do PIMS. Abrange também os contextos da organização enquanto responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, tornando-a relevante tanto para a governação da privacidade como para as atividades operacionais de garantia. Uma característica definidora da política é o seu modelo de evidência consolidada. O REG12 é utilizado como localização principal para o programa de monitorização, definições de métricas, programa de auditoria, resultados da auditoria, evidência da revisão pela gestão, não conformidades, ações corretivas, exceções e ações de melhoria. A evidência de suporte provém do REG01 ao REG11, incluindo entradas de atividades de tratamento do REG02, estado dos controlos de segurança do REG03, atualizações de riscos de privacidade do REG04, evidência de garantia de fornecedores e subcontratantes do REG08, entradas de tendências de incidentes e violações de dados pessoais do REG10 e estado de conclusão da formação do REG11. A política exige que o Responsável de Privacidade / Gestor do PIMS defina os métodos de medição, a frequência, a fonte de evidência, os objetivos e as funções responsáveis por cada métrica do PIMS antes do início do ciclo de medição, e que consolide os resultados trimestralmente. Os requisitos de auditoria e revisão são estruturados em torno de planeamento baseado no risco, evidência documentada e independência. O Revisor de Auditoria Interna / Conformidade deve preparar no REG12 um programa anual de auditoria interna do PIMS baseado no risco e definir o objetivo, os critérios, o âmbito, o método, a base de amostragem e o prazo de reporte antes do início do trabalho de campo da auditoria. As verificações de independência do auditor e de conflito de interesses devem ser registadas antes de cada atribuição de auditoria. As atividades de auditoria incluem testar o estado de implementação dos controlos aplicáveis do PIMS face ao REG03, registar amostras selecionadas de evidência de tratamento de informações pessoais identificáveis (PII) e documentar os resultados no prazo de 15 dias úteis após a conclusão da auditoria. As constatações aceites devem ser atribuídas a proprietários de ações corretivas no REG12 no prazo de 10 dias úteis após a aceitação dos resultados da auditoria. A Alta Direção deve realizar a revisão pela gestão do PIMS pelo menos anualmente no REG12, analisando ações anteriores, métricas de desempenho do PIMS, estado dos objetivos de privacidade, não conformidades, ações corretivas, resultados da monitorização, resultados da auditoria, riscos de privacidade, garantia de fornecedores e entradas de alterações de partes interessadas. As não conformidades devem ser registadas, as causas-raiz e os planos de ação corretiva submetidos, as datas-limite e os critérios de aceitação aprovados, a evidência de conclusão retida e a eficácia verificada. A melhoria contínua é conduzida pela revisão trimestral dos resultados de monitorização, resultados da auditoria, tendências de incidentes, estado dos riscos de privacidade, estado da garantia de fornecedores e tendências de ações corretivas. Quando a mesma categoria de constatação ocorre duas ou mais vezes no prazo de 12 meses, a política exige que seja criada uma ação de melhoria sistémica no REG12.