Política de Privacidade desde a Conceção e por Defeito

A Política de Privacidade desde a Conceção e por Defeito define como os requisitos de privacidade devem ser integrados em atividades novas e alteradas de tratamento de dados pessoais no âmbito do PIMS. Aplica-se a projetos, produtos, serviços, sistemas, aplicações, integrações, atividades de aquisição e alterações a processos de negócio. A política é redigida para contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, incluindo situações em que a organização concebe, configura, altera ou opera o tratamento em nome de um cliente, responsável pelo tratamento ou subcontratante a montante ao abrigo de instruções documentadas. A sua finalidade central é garantir que os requisitos de privacidade são identificados, implementados e evidenciados antes de o tratamento de dados pessoais começar ou sofrer alterações materiais. A política coloca especial ênfase na finalidade, necessidade, minimização e definições por defeito protetoras da privacidade. Os proprietários de processos e os proprietários do negócio devem documentar as categorias mínimas de dados pessoais, as categorias de titulares dos dados, as fontes e as finalidades em REG02 e REG04 antes da aprovação da conceção da recolha ou importação. Os Proprietários de Sistemas e Aplicações devem configurar as definições de tratamento por defeito para a recolha e o tratamento mínimos de dados pessoais necessários para a finalidade documentada e devem registar evidência em REG04 antes da entrada em produção. Campos opcionais de dados pessoais, escolhas opcionais de tratamento, definições desligadas por defeito, definições de exposição para vistas e relatórios, e o tratamento de ficheiros temporários, caches, logs ou registos de staging são todos tratados como obrigações de privacidade na fase de conceção, e não como correções operacionais posteriores. A ligação entre riscos de privacidade e AIPD é integrada no processo de conceção sem substituir a metodologia separada definida em PII07. O Responsável de Privacidade / Gestor do PIMS deve confirmar que a triagem de riscos de privacidade e a AIPD são registadas em REG04 antes da aprovação da conceção de tratamento de dados pessoais novo ou materialmente alterado. As ações de tratamento de privacidade desde a conceção, os proprietários e as datas limite devem ser registados antes do encerramento da revisão, e a evidência de implementação deve ser capturada antes da entrada em produção. Para tratamentos de alto risco ou materialmente alterados realizados pelo responsável pelo tratamento, a política também exige uma verificação pós-implementação de privacidade desde a conceção em REG04 no prazo de 30 dias de calendário após a entrada em produção. Quando os controlos de conceção estejam ausentes, sejam ineficazes, estejam vencidos ou sejam contornados, é aberta uma ação corretiva em REG12. A política também alarga a privacidade desde a conceção à aquisição e às relações com terceiros. Os proprietários de fornecedores e de aquisição devem registar requisitos de privacidade desde a conceção para fornecedores, subcontratantes, subcontratantes subsequentes, serviços SaaS, plataformas ou sistemas alojados externamente em REG08 antes da aprovação da aquisição. A necessidade, finalidade e categorias mínimas de dados pessoais de terceiros devem ser documentadas antes do tratamento externo, partilha de dados ou aprovação da aquisição. O suporte do fornecedor para definições de privacidade por defeito, minimização e necessidades de configuração do cliente deve ser registado antes da integração, enquanto lacunas de privacidade desde a conceção de fornecedores não resolvidas são escalonadas para REG12 no prazo de cinco dias úteis e antes da assinatura do contrato. A governação, a monitorização, o cumprimento e a manutenção são definidos através de ciclos recorrentes de evidência e revisão. O Responsável de Privacidade / Gestor do PIMS submete resumos trimestrais do estado de privacidade desde a conceção em REG12, calcula métricas de conclusão e de ações vencidas, e verifica se a evidência de conceção permanece consolidada em REG02, REG04, REG08 e REG12 antes da auditoria interna. A Alta Direção revê exceções de alto impacto, decisões de entrada em produção bloqueadas e constatações recorrentes durante a revisão pela gestão. As disposições de cumprimento exigem a prevenção da entrada em produção quando a revisão REG04 esteja incompleta, a prevenção da integração quando a evidência REG08 esteja ausente e a suspensão de tratamento de dados pessoais novo ou alterado até que a revisão REG04, as atualizações REG02 e as exceções REG12 exigidas estejam concluídas.