O Programa de Proteção de Dados
Os registos e procedimentos que tornam a conformidade demonstrável.
A conformidade com o RGPD não é um estado que se alcança uma vez, mas um programa que se mantém. O princípio da responsabilização — a accountability do artigo 5.º, n.º 2 — exige que a organização não só cumpra, mas demonstre que cumpre. O programa de proteção de dados é a maquinaria que torna essa demonstração possível, e o EPD é quem a acompanha e fiscaliza.
Os elementos seguintes constituem o núcleo do programa. Não são burocracia: são os registos e os procedimentos que, perante a CNPD, um titular ou um tribunal, provam que a organização leva a proteção de dados a sério.
Registo das Atividades de Tratamento
O registo do artigo 30.º: finalidades, categorias de dados e de titulares, destinatários, transferências e prazos de conservação — a espinha dorsal da responsabilização.
Bases de Licitude
A identificação e documentação da base de licitude de cada tratamento, nos termos dos artigos 6.º e 9.º, incluindo a gestão do consentimento quando aplicável.
Avaliações de Impacto (AIPD)
A avaliação dos tratamentos de risco elevado e a gestão do risco residual, nos termos do artigo 35.º.
Contratos de Subcontratação
Os contratos do artigo 28.º que regem os subcontratantes, com as garantias e instruções exigidas.
Segurança do Tratamento
As medidas técnicas e organizativas adequadas ao risco, nos termos do artigo 32.º, em articulação com a cibersegurança.
Gestão de Violações
O procedimento para violações de dados pessoais: a notificação em 72 horas e a comunicação aos titulares, nos termos dos artigos 33.º e 34.º.
Transferências Internacionais
O enquadramento lícito das transferências para países terceiros, nos termos do capítulo V — decisões de adequação, cláusulas contratuais-tipo e medidas suplementares.
Direitos dos Titulares
Os procedimentos que garantem o exercício dos direitos do capítulo III, dentro dos prazos legais.