Política de Aviso de Privacidade e Transparência

A Política de Aviso de Privacidade e Transparência define os requisitos da organização para criar, aprovar, publicar, manter, rever e evidenciar avisos de privacidade e informações de transparência para o tratamento de dados pessoais no âmbito do PIMS. A sua finalidade declarada é assegurar que os titulares dos dados recebem “avisos de privacidade claros, atuais, acessíveis e auditáveis antes ou no ponto exigido do ciclo de vida do tratamento de dados pessoais”. A política aplica-se ao tratamento realizado pelo responsável pelo tratamento, às informações de transparência do responsável conjunto pelo tratamento e ao suporte prestado pelo subcontratante ou subcontratante subsequente às obrigações de aviso do responsável pelo tratamento quando a organização atua ao abrigo de instruções documentadas do cliente ou do subcontratante. A política é detida pelo Responsável de Privacidade / Gestor do PIMS, aprovada pela Alta Direção e utiliza REG02, REG06, REG07, REG11 e REG12 como objetos de evidência. Uma característica central da política é o controlo do conteúdo dos avisos de privacidade através do REG07. A política estabelece o REG07 como o objeto de evidência autoritativo para registos de inventário de avisos, aprovação, publicação, revisão, idioma e controlo de versões. Para o tratamento realizado pelo responsável pelo tratamento, os proprietários de processos / proprietários do negócio devem criar um registo de aviso de privacidade REG07 ligado à atividade de tratamento REG02 relevante antes de lançar qualquer novo canal de recolha de dados pessoais, serviço, formulário, campanha, produto ou funcionalidade. Quando os dados pessoais sejam obtidos a partir de uma fonte diferente do titular dos dados, o registo deve ser criado antes da primeira comunicação, antes da primeira divulgação a um terceiro ou no prazo de 20 dias úteis após a obtenção dos dados pessoais, consoante o que ocorrer primeiro. A política também exige que os avisos estejam ligados às finalidades atuais do tratamento no REG02, às referências ao fundamento de licitude, às categorias de dados pessoais, às categorias de titulares dos dados, às categorias de fontes, às categorias de destinatários, às referências de retenção e às referências de transferência. A política define um ciclo de vida estruturado de aprovação e publicação. Os proprietários de processos / proprietários do negócio certificam a exatidão e a completude do conteúdo do aviso e submetem o registo REG07 à aprovação do Responsável de Privacidade / Gestor do PIMS antes da publicação ou da ativação do canal de recolha. O Responsável de Privacidade / Gestor do PIMS verifica a consistência com o REG02 e aprova ou rejeita o aviso. Os Proprietários de Sistemas / Proprietários de Aplicações só podem publicar a versão aprovada do aviso REG07 antes de ativar canais digitais de recolha, enquanto os proprietários de processos / proprietários do negócio devem disponibilizar os avisos aprovados através de canais não digitais antes da recolha de dados pessoais. A evidência de publicação, incluindo localização e carimbo temporal ou evidência equivalente, deve ser registada no REG07 no prazo de dois dias úteis após a publicação. Se a evidência exigida de aviso aprovado estiver em falta, o novo canal de recolha do responsável pelo tratamento não deve entrar em produção. A qualidade da transparência é tratada através de controlos de linguagem, acessibilidade, versões e alterações. A política exige a identificação dos públicos-alvo de titulares dos dados e das versões linguísticas exigidas antes da aprovação. Exige evidência de linguagem clara e de adequação ao público no REG07, versões traduzidas ou localizadas antes da publicação e paridade de versões entre avisos-mestre e avisos localizados no prazo de 10 dias úteis após uma atualização material. As versões obsoletas de avisos devem ser removidas, redirecionadas ou rotuladas no prazo de cinco dias úteis após a publicação da substituição, enquanto as versões substituídas, datas de entrada em vigor, evidência de aprovação e evidência de publicação devem ser retidas no REG07. Alterações materiais à identidade do responsável pelo tratamento, ponto de contacto, finalidade do tratamento, fundamento de licitude, categorias de dados pessoais, categorias de destinatários, referências de retenção, referências de transferência, canais de pedido de exercício de direitos, canais de reclamação ou de contacto de privacidade, cobertura linguística, canais de publicação ou contexto de tratamento acionam controlos de atualização de avisos. A política também inclui requisitos de governação, medição, exceções, aplicação e manutenção. Os avisos REG07 ativos são revistos pelo menos anualmente e no prazo de 30 dias após alterações materiais legais, regulamentares, contratuais ou do tratamento. Os registos de avisos REG07 são reconciliados trimestralmente com as finalidades do tratamento REG02, sendo as discrepâncias não resolvidas registadas no REG12. As métricas incluem a percentagem de avisos ativos ligados às finalidades atuais do REG02, avisos revistos até à data limite, atualizações em atraso, discrepâncias não resolvidas, canais de recolha bloqueados ou atrasados, pedidos de suporte a avisos de clientes concluídos dentro do prazo e avisos com evidência atual de idioma, versão, aprovação e publicação. As exceções devem ser registadas no REG12 antes de ocorrerem desvios, com aconselhamento de privacidade obrigatório e aprovação da Alta Direção para exceções especificadas relacionadas com avisos. Evidência de aviso em falta, inexata, não publicada, não aprovada ou obsoleta é registada como não conformidade, e avisos materialmente inexatos ou enganosos são escalados para o Encarregado da Proteção de Dados / Assessor de Privacidade e para a Alta Direção no prazo de dois dias úteis após confirmação.