Política de Avaliação de Riscos de Privacidade e AIPD

A Política de Avaliação de Riscos de Privacidade e AIPD define como uma organização identifica, avalia, trata, aprova, revê e evidencia riscos de privacidade no âmbito do PIMS. A sua finalidade é assegurar que os riscos de privacidade e as obrigações de AIPD são tratados antes de o tratamento de dados pessoais criar risco inaceitável para os titulares dos dados ou para o PIMS. A política aplica-se a atividades novas e materialmente alteradas de tratamento de dados pessoais em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente. Abrange também sistemas, aplicações, serviços, processos de negócio, fornecedores, subcontratantes, subcontratantes subsequentes, transferências internacionais e acordos de partilha de dados que afetem o tratamento de dados pessoais. Uma característica central da política é o seu modelo operacional baseado no REG04. A triagem de riscos de privacidade, a triagem para AIPD, a avaliação de riscos, os planos de tratamento, a aceitação do risco residual, as decisões de consulta, as aprovações e o estado de revisão são documentados no REG04, com evidência de suporte ligada ao REG02, REG03, REG08, REG09, REG10, REG11 e REG12. A política evita expressamente a criação de registos separados de AIPD, risco ou consulta fora do REG04. Isto ajuda a preservar um único trilho de evidência para resultados de triagem, decisões de AIPD completa, classificações de risco, proprietários do tratamento, datas limite, risco residual, estado de aprovação e datas de revisão. A política define desencadeadores obrigatórios para a triagem de riscos de privacidade e a determinação de AIPD completa. Os Proprietários de processos / Proprietários do negócio devem iniciar a triagem no REG04 antes do início de tratamento novo ou materialmente alterado registado no REG02. O tratamento pelo responsável pelo tratamento suscetível de resultar em risco elevado exige uma AIPD completa antes do início do tratamento. A política identifica tratamento que envolva atividade em grande escala, monitorização sistemática, definição de perfis, decisões automatizadas, categorias especiais de dados pessoais, dados relativos a condenações penais ou infrações, titulares de dados vulneráveis, tecnologia inovadora e alteração material do tratamento como matérias que devem ser remetidas ao Responsável de Privacidade / Gestor do PIMS antes do início do tratamento. Exige também nova triagem antes da utilização de dados pessoais para uma nova finalidade, da adição de um novo destinatário, da introdução de um novo subcontratante ou subcontratante subsequente, da alteração da arquitetura do sistema ou do início de uma nova transferência internacional. O tratamento de riscos e o escalonamento também são claramente definidos. Quando o risco de privacidade excede o limiar de aceitação aprovado, o Proprietário do processo / Proprietário do negócio deve registar um plano de tratamento no REG04 antes de o tratamento prosseguir. As ações de segurança, conceção do sistema, fornecedores, contratuais e de garantia são atribuídas à função relevante e devem ser implementadas antes da entrada em produção, da integração, da renovação ou da data limite aprovada. O risco residual de privacidade elevado para tratamento pelo responsável pelo tratamento exige aprovação da Alta direção antes do início ou da continuação do tratamento. Quando subsista risco residual elevado após o tratamento, o Responsável de Privacidade / Gestor do PIMS regista a decisão de consulta prévia no REG04, e a Alta direção aprova ações de continuação, suspensão, redesenho ou consulta antes de o tratamento prosseguir. Os requisitos de governação, monitorização e cumprimento asseguram que o processo permanece ativo após a aprovação inicial. O Responsável de Privacidade / Gestor do PIMS revê mensalmente os riscos de privacidade em aberto e as ações de tratamento em atraso, reporta trimestralmente o estado dos riscos de privacidade e das AIPD e antes da revisão pela gestão, e reconcilia os registos de risco ativos do REG04 com os registos de inventário de tratamento do REG02. A política define métricas para cobertura da triagem, AIPD completas ativas, revisões em atraso, riscos residuais elevados, estado das ações de tratamento, tempo médio de encerramento, ações de fornecedores, ações de tratamento de segurança, reavaliação motivada por incidentes e constatações de auditoria. As exceções devem ser solicitadas antes de qualquer desvio, avaliadas quanto ao impacto na privacidade, jurídico, de certificação, operacional e nos titulares dos dados, e receber uma data de expiração não superior a 90 dias. A evidência do REG04 em falta, inexata, incompleta, em atraso ou não aprovada é tratada como uma não conformidade no REG12.