Política de Formação, Sensibilização e Competência em Privacidade

A Política de Formação, Sensibilização e Competência em Privacidade define como uma organização gere a formação em privacidade no âmbito do seu Sistema de Gestão da Informação de Privacidade. A sua finalidade é assegurar que as pessoas cujo trabalho afeta o tratamento de dados pessoais compreendem as suas responsabilidades, concluem formação segundo uma periodicidade definida, mantêm competência relevante para a função e produzem evidência auditável de formação, sensibilização e escalonamento. A política aplica-se a contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, tornando-a relevante para organizações que tratam dados pessoais diretamente, bem como para as que atuam segundo instruções de clientes ou através de acordos de tratamento por terceiros. O âmbito é intencionalmente amplo e operacional. Aplica-se a pessoal, contratados, trabalhadores temporários, terceiros relevantes, subcontratantes, subcontratantes subsequentes e outras partes interessadas cujo trabalho possa afetar o tratamento de dados pessoais, os direitos dos titulares dos dados, o risco de privacidade, a segurança da informação relacionada com dados pessoais, instruções de subcontratantes, incidentes de privacidade, informação documentada ou evidência de conformidade. A política abrange a identificação do público-alvo da formação em privacidade, formação de integração, formação de reciclagem anual, formação baseada em funções e acionada por eventos, evidência de conclusão da formação, escalonamento de não conclusão, revisão da eficácia da formação e evidência de garantia da formação de subcontratantes, subcontratantes subsequentes e terceiros. Uma característica central da política é o seu modelo de evidência. Estabelece que não é criada uma matriz de formação, painel de gestão, registo de competências, registo disciplinar ou registo de formação de clientes separado. Em vez disso, as atribuições de formação, conclusões, lembretes, evidência de competência e evidência de sensibilização são registadas no REG11. As exceções, escalonamentos, não conformidades, ações corretivas e evidência de revisão são registados no REG12. A evidência de garantia da formação de subcontratantes, subcontratantes subsequentes e terceiros é registada no REG08 quando relevante, enquanto contributos de lições de incidentes podem ser ligados através do REG10. Esta abordagem ajuda a manter a formação em privacidade rastreável sem duplicar registos nem criar sobrecarga administrativa desnecessária. A política estabelece periodicidades e desencadeadores específicos de formação. A formação básica de sensibilização para a privacidade deve ser atribuída no prazo de 10 dias úteis após a integração para pessoal com acesso a dados pessoais ou responsabilidades no PIMS, e o pessoal deve concluir a formação de integração em privacidade antes de ser aprovado o acesso não supervisionado a dados pessoais ou no prazo de 30 dias após a integração, consoante o que ocorrer primeiro. A formação de reciclagem anual em privacidade deve ser atribuída pelo menos uma vez a cada 12 meses. É exigida formação de reciclagem direcionada no prazo de 30 dias após uma alteração material da política de privacidade, uma alteração material de processo do PIMS, uma constatação de auditoria, uma falha recorrente de formação ou uma lição relevante de incidente com dados pessoais. A formação baseada em funções também é exigida antes de o pessoal assumir responsabilidades que envolvam fundamento de licitude, avisos, consentimento, direitos dos titulares dos dados, AIPD, retenção, partilha, transferências internacionais, acesso privilegiado, administração de segurança, registo, monitorização ou apoio a incidentes. A governação e o cumprimento são incorporados na política através de responsabilidades, monitorização e escalonamento definidos. O Responsável de Privacidade / Gestor do PIMS mantém o conteúdo da formação, as atribuições, a evidência de conclusão, as confirmações e a evidência de eficácia. Os proprietários de processos apoiam a conclusão pelo pessoal sob a sua responsabilidade, os proprietários de sistemas verificam a formação antes de aprovar acesso privilegiado ou acesso a sistemas de dados pessoais de alto impacto, e os responsáveis de fornecedores / aquisição mantêm evidência de formação ou garantia equivalente para fornecedores, subcontratantes, subcontratantes subsequentes e membros da força de trabalho externa. A política exige revisão trimestral da conclusão, formação em atraso, atribuições baseadas em funções e exceções, com lacunas de evidência não resolvidas reportadas antes da revisão pela gestão. Os revisores de Auditoria Interna / Conformidade fazem amostragem da evidência do REG11 e do REG12 de acordo com o plano de auditoria aprovado, apoiando a melhoria contínua e a responsabilização preparada para certificação.