Política de Papéis, Responsabilidades e Responsabilização em Privacidade

A Política de Papéis, Responsabilidades e Responsabilização em Privacidade define a forma como a organização atribui, documenta, comunica, revê e melhora responsabilidades no seu Sistema de Gestão da Informação de Privacidade. O seu âmbito abrange pessoal, funções, sistemas, fornecedores, subcontratantes, subcontratantes subsequentes e relações de responsável conjunto pelo tratamento que participam no tratamento de informações pessoais identificáveis (PII), ou o influenciam, dentro do âmbito do PIMS. A política aplica-se em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, tornando-a relevante para o conjunto completo de modelos operacionais de privacidade descritos no documento. Também esclarece que não cria novos cargos organizacionais; em vez disso, define papéis canónicos do PIMS que podem ser atribuídos a pessoal ou funções existentes quando os requisitos necessários de atribuição, competência, independência e conflito de interesses estiverem documentados. A política estabelece um modelo estruturado de papéis do PIMS e uma abordagem de responsabilização baseada em evidência. A Alta Direção deve aprovar o modelo canónico de papéis em REG01 antes da implementação inicial e anualmente daí em diante. O Responsável de Privacidade / Gestor do PIMS mantém em REG01 atribuições nominativas de funções, âmbitos de responsabilidade e níveis de autoridade, incluindo atualizações após alterações de pessoal ou organizacionais. A titularidade do tratamento está associada a REG02, onde os Proprietários de processos / Proprietários do negócio atribuem proprietários responsáveis por cada atividade de tratamento de informações pessoais identificáveis (PII) antes do início do tratamento, e os Proprietários de sistemas / Proprietários de aplicações documentam proprietários responsáveis dos sistemas antes da entrada em produção. A titularidade das relações com fornecedores, subcontratantes, subcontratantes subsequentes, partilha de dados com terceiros e responsáveis conjuntos pelo tratamento é registada em REG08 antes da integração ou da aprovação do acordo. Uma parte central da política é a gestão de combinações de funções, segregação e independência. A política permite combinações práticas de funções, incluindo para organizações de pequena e média dimensão, mas exige documentação antes de as combinações produzirem efeitos. As combinações de funções que envolvam o Responsável de Privacidade / Gestor do PIMS, o Encarregado da Proteção de Dados / Assessor de Privacidade, o Responsável de Segurança da Informação, o Coordenador de Resposta a Incidentes ou o Revisor de Auditoria Interna / Conformidade exigem aprovação da Alta Direção em REG01. O Revisor de Auditoria Interna / Conformidade deve documentar a independência face ao processo do PIMS em revisão em REG12 antes de cada auditoria ou revisão de conformidade. Quando os conflitos de segregação não puderem ser evitados, devem ser registados controlos compensatórios, e o Encarregado da Proteção de Dados / Assessor de Privacidade deve registar preocupações de independência ou de conflito de interesses no prazo de cinco dias úteis após a identificação. A política também define a responsabilização nas responsabilidades do responsável pelo tratamento, do responsável conjunto pelo tratamento, do subcontratante e do subcontratante subsequente. O tratamento realizado pelo responsável pelo tratamento exige que a titularidade da responsabilidade, a titularidade da finalidade e a titularidade da evidência sejam registadas em REG02 antes do início do tratamento. A repartição de responsabilidades entre responsáveis conjuntos pelo tratamento, a titularidade das instruções do cliente ao subcontratante, a titularidade da supervisão do subcontratante subsequente, o estado de aprovação e as vias de escalonamento de responsabilidades de terceiros são geridos através de REG08. O Responsável de Privacidade / Gestor do PIMS verifica trimestralmente os registos de classificação de funções em REG02 e REG08 e no prazo de 15 dias úteis após uma alteração material. A política exige ainda que o aconselhamento em privacidade, os contributos sobre responsabilidade pela segurança de PII, a responsabilidade pelo escalonamento de violações de dados pessoais e incidentes de privacidade, as disputas de responsabilidade não resolvidas e os escalonamentos relacionados com funções sejam documentados em objetos de evidência definidos. A governação, a medição, as exceções, o cumprimento e a manutenção estão integrados no modelo de responsabilização. A Alta Direção revê a completude, as funções por preencher, os conflitos de funções, as exceções de responsabilização e as métricas durante a Revisão pela Gestão. O Responsável de Privacidade / Gestor do PIMS realiza revisões trimestrais da responsabilização, acompanha funções por preencher e funções combinadas, reporta a conclusão da sensibilização sobre funções, gere exceções com limites de expiração definidos e regista atribuições ausentes, inexatas ou desatualizadas como não conformidades. Os Proprietários de processos / Proprietários do negócio devem impedir a entrada em produção de tratamento de informações pessoais identificáveis (PII) novo ou alterado quando a evidência exigida de funções e responsabilização estiver ausente. Os Revisores de Auditoria Interna / Conformidade testam a evidência de funções, reportam constatações e verificam a eficácia das ações corretivas. A própria política deve ser revista anualmente e no prazo de 30 dias após uma alteração material ao modelo de papéis do PIMS.