Política do Sistema de Gestão da Informação de Privacidade

A Política do Sistema de Gestão da Informação de Privacidade estabelece o PIMS da organização para o tratamento de informações pessoais identificáveis em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente. A sua finalidade declarada é definir requisitos de governação obrigatórios para estabelecer, implementar, manter, monitorizar e melhorar continuamente o PIMS. A política foi concebida para apoiar uma gestão responsável, baseada no risco e orientada por evidência do tratamento de PII em todas as funções aplicáveis do PIMS. Aplica-se ao âmbito do PIMS, ao contexto organizacional, às partes interessadas, aos limites, à determinação de funções, à política de privacidade, aos objetivos de privacidade, à avaliação de riscos de privacidade, ao tratamento de riscos de privacidade, à Declaração de Aplicabilidade do PIMS, à governação, à monitorização, à auditoria interna, à revisão pela gestão, à não conformidade, à ação corretiva e à evidência documentada necessária para demonstrar conformidade e responsabilização. Uma característica central da política é o seu foco na responsabilização definida. A Alta Direção deve aprovar o âmbito do PIMS em REG01 antes da implementação inicial e no prazo de 30 dias após qualquer alteração material, aprovar anualmente a política e os objetivos do PIMS em REG12, e rever o desempenho, os riscos em aberto, as não conformidades, as ações corretivas e as decisões de melhoria durante a revisão pela gestão. O Responsável de Privacidade / Gestor do PIMS mantém os registos essenciais do PIMS, incluindo questões de contexto, partes interessadas, objetivos, a Declaração de Aplicabilidade, decisões de tratamento do risco, o índice de evidência, métricas, exceções, ações corretivas e registos de revisão da política. Os Proprietários de processos classificam a função da organização no PIMS para cada atividade de tratamento de PII antes do início do tratamento, enquanto os Proprietários de fornecedores / aquisição documentam a repartição de responsabilidades do responsável conjunto pelo tratamento, as instruções de tratamento dos clientes, os acordos de subcontratação subsequente aprovados, a governação de fornecedores e os processos relevantes para o PIMS prestados externamente. A política liga a governação do PIMS ao controlo operacional. A avaliação de riscos de privacidade deve ser iniciada antes do início do tratamento de PII novo ou materialmente alterado, e a necessidade de AIPD deve ser determinada antes de avançar com tratamento de alto risco ou materialmente alterado realizado pelo responsável pelo tratamento. As decisões aprovadas de tratamento de riscos de privacidade são registadas antes da implementação do tratamento, e os Proprietários de sistemas devem confirmar os controlos operacionais do PIMS antes da entrada em produção de sistemas que tratem PII. O Responsável de Segurança da Informação é responsável por documentar a linha de base de controlos de segurança de PII aplicável e por manter o estado de implementação dos controlos de segurança, ligando a governação de privacidade à linha de base de controlos de segurança de PII e à Declaração de Aplicabilidade. Esta estrutura ajuda a assegurar que o âmbito, as atividades de tratamento, a aplicabilidade dos controlos, os acordos com fornecedores e os registos de risco permanecem alinhados antes da revisão pela gestão e de alterações relacionadas com certificação. A política também define requisitos de auditabilidade e melhoria contínua. O Responsável de Privacidade / Gestor do PIMS deve manter um índice de evidência do PIMS antes de cada auditoria interna, reter informação documentada de acordo com os requisitos de retenção de evidência, manter métricas de desempenho trimestralmente e reportar o estado dos objetivos antes da revisão pela gestão. O conjunto mínimo de medição inclui a percentagem de atividades de tratamento dentro do âmbito com classificação de função atualizada, a percentagem de controlos aplicáveis com estado de implementação atualizado, não conformidades em aberto e ações corretivas vencidas, e avaliações de riscos de privacidade pendentes de aprovação. Os Revisores de Auditoria Interna / Conformidade devem reportar os resultados da revisão no prazo de 15 dias úteis, amostrar a completude da evidência durante auditorias internas, verificar evidência de encerramento de exceções expiradas e verificar a eficácia das ações corretivas no prazo de 30 dias após o reporte de encerramento. As exceções, a aplicação e a manutenção são tratadas como processos formais do PIMS, e não como desvios informais. As exceções solicitadas devem ser documentadas antes de ocorrer o desvio, avaliadas quanto ao risco de privacidade antes da aprovação e revistas trimestralmente até ao encerramento. As exceções que excedam os limiares aceites de risco de privacidade exigem aprovação da Alta Direção antes da implementação. As suspeitas de não conformidade devem ser registadas no prazo de cinco dias úteis, as ações corretivas maiores vencidas devem ser escaladas para a Alta Direção, e as não conformidades maiores não resolvidas devem ser revistas em cada revisão pela gestão. A própria política é revista anualmente e no prazo de 30 dias após alterações materiais de natureza legal, organizacional, de tratamento, tecnológica ou do âmbito de certificação, sendo as alterações aprovadas comunicadas em REG11 no prazo de 30 dias após a publicação.