Governação de AIPD para ISO 27001, NIS2 e DORA
São 17:40 de uma quinta-feira e Maria, diretora de segurança da informação (CISO) de uma fintech em rápido crescimento, está a ser chamada a aprovar uma versão antes do fecho do trimestre.
O produto apresenta a funcionalidade como um avanço: autenticação de pagamentos baseada em biometria e análise comportamental, concebida para tornar o acesso dos clientes fluido e reduzir a fraude. A engenharia afirma que não está a ser criada nenhuma nova base de dados central. A equipa comercial diz que um cliente financeiro regulado está à espera. O gestor de versões já classificou o pedido como uma alteração padrão.
Então, o Encarregado da Proteção de Dados (EPD) faz três perguntas.
A funcionalidade vai combinar dados biométricos ou comportamentais com atributos de conta? Um subcontratante subsequente em ambiente de nuvem vai receber telemetria ou sinais de autenticação? Alguém avaliou se a alteração cria um risco elevado para as pessoas?
A sala fica em silêncio.
Maria tem um Registo de Riscos ISO/IEC 27001:2022. O jurídico tem um registo das atividades de tratamento do RGPD da UE. A área de compras tem um questionário de fornecedor. A equipa de nuvem tem uma revisão de segurança do prestador. O Gestor de Alterações tem um pedido registado. O conselho de administração acabou de receber um briefing sobre responsabilização NIS2 e expectativas de resiliência operacional DORA.
Nenhum desses registos conta a história completa por si só.
Este é o problema da governação de AIPD em 2026. As Avaliações de Impacto sobre a Proteção de Dados (AIPD) não podem ficar numa pasta de privacidade à espera de um regulador. Devem tornar-se registos de decisão que ligam os Articles 25, 30, 32, 35 e 36 do RGPD da UE à evidência de risco ISO/IEC 27001:2022, às medidas de gestão de riscos de cibersegurança NIS2, à governação de alterações de TIC no âmbito de DORA, à garantia de fornecedores e à responsabilização ao nível do conselho de administração.
As organizações que têm dificuldades geralmente não estão a ignorar a conformidade. Estão a realizar revisão de privacidade, revisão de segurança, revisão de nuvem e revisão de alterações em separado. As organizações que têm sucesso criam um único fluxo de governação rastreável, no qual os critérios de acionamento da AIPD, a avaliação de riscos, a diligência prévia de fornecedores, o mapeamento de controlos, os testes e a aprovação do risco residual formam uma única cadeia de evidência.
Porque falham as AIPD em silos em 2026
O RGPD da UE introduziu a AIPD como mecanismo formal para avaliar operações de tratamento suscetíveis de resultar num risco elevado para as pessoas. Em muitas empresas, tornou-se uma tarefa jurídica ou de privacidade: um formulário preenchido quando um projeto parecia sensível.
Esse modelo já não é defensável.
Uma alteração ao tratamento de dados pessoais raramente é apenas um evento de privacidade. É também:
- Um evento de risco de segurança da informação ao abrigo da ISO/IEC 27001:2022.
- Um evento de governação de cibersegurança ao abrigo da NIS2, se forem afetados sistemas de rede e informação, fornecedores ou controlos de segurança.
- Um evento de alteração de TIC e de resiliência ao abrigo de DORA para entidades financeiras e prestadores de serviços de TIC relevantes.
- Um evento de risco de fornecedores e de nuvem quando estão envolvidos subcontratantes, subcontratantes subsequentes, API, SDK ou serviços alojados.
Quando essas avaliações ocorrem separadamente, as lacunas tornam-se perigosas. Uma equipa de privacidade pode aprovar uma AIPD sem compreender vulnerabilidades num SDK biométrico. Uma equipa de TI pode implementar uma alteração sem perceber que envolve dados de categorias especiais ou monitorização comportamental. Uma equipa de segurança pode rever um serviço na nuvem sem o ligar aos riscos específicos para os direitos e liberdades identificados na AIPD.
A resposta não é mais burocracia. A resposta é governação integrada.
Uma AIPD deve ser tratada como o critério de acionamento que inicia um fluxo coordenado de risco entre privacidade, segurança, nuvem, fornecedores, engenharia, jurídico e gestão.
A base do RGPD da UE: a governação de AIPD começa pela consciência do tratamento
Uma AIPD não pode ser rigorosa se a organização não consegue explicar que dados trata, por que motivo os trata, quem os recebe e durante quanto tempo são conservados.
A responsabilização pelo RGPD da UE exige mais do que uma declaração de intenção. O Article 5 estabelece princípios essenciais, como licitude, lealdade, transparência, limitação das finalidades, minimização dos dados, exatidão, limitação da conservação, integridade e confidencialidade. Também exige que o responsável pelo tratamento demonstre conformidade. O Article 25 exige privacidade desde a conceção e por defeito. O Article 30 exige registos das atividades de tratamento. O Article 32 exige segurança do tratamento. O Article 35 exige uma AIPD quando o tratamento for suscetível de resultar em risco elevado. O Article 36 exige consulta prévia quando subsiste risco elevado sem mitigação suficiente.
Para organizações SaaS, fintech, de nuvem e de serviços geridos, isto significa que todas as alterações materiais devem ser analisadas quanto ao impacto na privacidade. O critério de acionamento não é o facto de um projeto estar rotulado como “privacidade”. O critério de acionamento é saber se a alteração afeta dados pessoais, finalidade do tratamento, fundamento de licitude, destinatários, conservação, direitos de acesso, fornecedores, localizações na nuvem ou risco residual.
A Política de proteção de dados e privacidade - PME da Clarysec transforma isto num requisito operacional:
“O Coordenador de Privacidade deve manter um registo de todas as atividades de tratamento de dados pessoais, incluindo categorias de dados, finalidade, fundamento de licitude e prazos de conservação”
Da secção “Requisitos de governação”, cláusula da política 5.2.1.
A mesma política para PME incorpora a privacidade na entrega:
“A privacidade desde a conceção e por defeito deve ser aplicada em todos os novos sistemas e serviços”
Da secção “Requisitos de governação”, cláusula da política 5.3.1.
Para ambientes empresariais, a Política de proteção de dados e privacidade da Clarysec torna explícito o ponto de controlo da AIPD:
“Todas as alterações significativas a sistemas ou processos que envolvam informações pessoais identificáveis (PII) devem exigir uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) documentada, revista pelo Encarregado da Proteção de Dados (EPD).”
Da secção “Requisitos de governação”, cláusula da política 5.6.
Essa cláusula é a ponte entre a responsabilização pelo RGPD da UE e o controlo operacional. Move a AIPD de uma reflexão jurídica tardia para a governação de projetos e a aprovação de alterações.
Ligar a AIPD à evidência de risco ISO/IEC 27001:2022
A ISO/IEC 27001:2022 fornece a estrutura de sistema de gestão de que a governação de AIPD necessita.
As cláusulas 4.1 a 4.4 exigem que a organização compreenda o seu contexto, partes interessadas, requisitos, âmbito do SGSI e processos em interação. Leis de privacidade, contratos com clientes, obrigações NIS2, requisitos DORA, deveres de responsáveis pelo tratamento e subcontratantes, e dependências de fornecedores pertencem todos a esse contexto.
As cláusulas 5.1 a 5.3 exigem liderança, alinhamento da política, recursos, papéis e responsabilidades. É aqui que muitas AIPD falham. Um EPD pode identificar risco elevado, mas sem Proprietários do Risco, regras de escalamento e critérios de aceitação apoiados pela gestão, a AIPD torna-se um documento em vez de uma decisão.
As cláusulas 6.1.1 a 6.1.3 exigem planeamento baseado no risco, um processo documentado de avaliação de riscos de segurança da informação, critérios de aceitação do risco, Proprietários do Risco, planeamento do tratamento, seleção de controlos, uma Declaração de Aplicabilidade e aprovação do risco residual. É essa a estrutura que uma AIPD deve utilizar.
Uma AIPD pode identificar danos como risco de definição de perfis, divulgação não autorizada, utilização secundária ilícita, fraude de identidade, discriminação ou conservação excessiva. O SGSI traduz esses danos em cenários de risco, análise de probabilidade e impacto, ações de tratamento, controlos do Anexo A e aprovações de risco residual.
A Política de Gestão de Riscos - PME da Clarysec define a disciplina mínima:
“Cada entrada de risco deve incluir: descrição, probabilidade, impacto, pontuação, proprietário e plano de tratamento.”
Da secção “Requisitos de governação”, cláusula da política 5.1.2.
Para ambientes empresariais, a Política de Gestão de Riscos da Clarysec liga o planeamento do tratamento à evidência ISO/IEC 27001:2022:
“O Responsável pelo Risco deve assegurar que os tratamentos são realistas, limitados no tempo e mapeados para os controlos do Anexo A da ISO/IEC 27001.”
Da secção “Requisitos de implementação da política”, cláusula da política 6.4.2.
O Zenith Blueprint: roteiro de 30 etapas para auditores, fase de Gestão de Riscos, etapa 13, Planeamento do Tratamento de Riscos e Declaração de Aplicabilidade, explica claramente o papel da SoA:
“A SoA é, na prática, um documento de ligação: liga a sua avaliação/tratamento de riscos aos controlos reais que possui.”
Esse é o modelo de AIPD preparado para auditoria. Uma conclusão da AIPD não deve terminar em “risco aceite”. Deve ser mapeada para o Registo de Riscos, plano de tratamento, Declaração de Aplicabilidade, revisão de fornecedor, diligência prévia de nuvem, registo de alteração, evidência de testes e decisão da gestão.
Um registo de decisão, múltiplos resultados de conformidade
Um fluxo maduro de governação de AIPD não duplica todos os regulamentos. Recolhe evidência uma vez e reutiliza-a de forma inteligente.
| Pergunta de governação da AIPD | Evidência criada | Evidência ISO/IEC 27001:2022 | Valor para a responsabilização pelo RGPD da UE | Valor para NIS2 ou DORA |
|---|---|---|---|---|
| Que tratamento está a mudar? | Atualização do registo de tratamento e formulário de entrada da AIPD | Evidência de âmbito, contexto, ativo e processo | Suporta os registos de tratamento e a privacidade desde a conceção | Demonstra consciência do risco operacional |
| O que pode causar danos às pessoas? | Cenário de risco de privacidade e avaliação de impacto | Resultado da avaliação de riscos e Proprietário do Risco | Suporta a fundamentação da AIPD e a responsabilização | Alinha com a governação de cibersegurança baseada no risco |
| Que controlos reduzem o risco? | Salvaguardas, medidas técnicas e organizativas, e plano de tratamento | SoA, plano de tratamento e estado de implementação do Anexo A | Suporta a segurança do tratamento e a privacidade por defeito | Suporta medidas de cibersegurança e de risco das TIC |
| Quem mais trata ou acede aos dados? | Revisão de fornecedor, subcontratante e nuvem | Evidência de controlos de fornecedores e nuvem | Suporta a supervisão de subcontratantes e a governação de transferências | Suporta risco da cadeia de fornecimento e de terceiros de TIC |
| O que mudou em produção? | Registo de alteração, evidência de testes e aprovação | Evidência de gestão de alterações e de controlo operacional | Demonstra que os controlos foram considerados antes da entrada em produção | Suporta expectativas de risco de alteração e resiliência |
| Quem aceitou o risco residual? | Aprovação do EPD, do Proprietário do Risco e da gestão | Aceitação do risco residual e contributo para revisão pela gestão | Demonstra tomada de decisão responsável | Suporta supervisão pelo conselho de administração ou órgão de gestão |
Esta cadeia de evidência alinha-se diretamente com a cláusula 8.1 da ISO/IEC 27001:2022, que exige processos operacionais planeados e controlados, evidência documentada, controlo de alterações planeadas e revisão de alterações não intencionais. A cláusula 8.2 exige avaliações de risco em intervalos planeados ou quando alterações significativas são propostas ou ocorrem. A cláusula 8.3 exige a implementação do plano de tratamento de riscos. A cláusula 9 transforma depois a evidência em garantia através de monitorização, medição, auditoria interna e revisão pela gestão.
A Política de proteção de dados e privacidade - PME torna explícito o momento:
“O Coordenador de Privacidade deve avaliar os riscos de privacidade anualmente e durante alterações de maior impacto aos sistemas”
Da secção “Tratamento do risco e exceções”, cláusula da política 7.1.1.
Se uma alteração importante que envolva dados pessoais não aciona a triagem da AIPD e a reavaliação do SGSI, o processo de governação está incompleto.
NIS2: a governação de AIPD torna-se responsabilização da gestão
A NIS2 aumenta a pressão de governação sobre organizações em setores essenciais e importantes. Aplica-se a muitas entidades públicas e privadas em setores listados que cumpram limiares de dimensão relevantes, podendo aplicar-se independentemente da dimensão em casos específicos, como serviços de confiança, DNS, registos TLD, serviços públicos de comunicações eletrónicas, prestadores únicos de serviços essenciais ou entidades com funções de risco sistémico.
Para a governação de AIPD, o ponto-chave não é apenas o âmbito. É a responsabilidade da gestão.
O NIS2 Article 20 exige que os órgãos de gestão de entidades essenciais e importantes aprovem medidas de gestão de riscos de cibersegurança, supervisionem a sua implementação e recebam formação. O Article 21 exige medidas técnicas, operacionais e organizativas adequadas e proporcionais, baseadas na exposição ao risco, dimensão, probabilidade, severidade, impacto social e económico, estado da arte e normas relevantes.
O Article 21(2) inclui domínios que frequentemente se sobrepõem aos resultados da AIPD, incluindo:
- Análise de riscos e políticas de segurança dos sistemas de informação.
- Tratamento de incidentes.
- Continuidade de negócio e gestão de crises.
- Segurança da cadeia de fornecimento.
- Segurança na aquisição, desenvolvimento e manutenção de sistemas de rede e informação.
- Tratamento e divulgação de vulnerabilidades.
- Políticas para avaliar a eficácia das medidas de gestão de riscos de cibersegurança.
- Higiene de cibersegurança e formação.
- Criptografia e cifragem.
- Segurança de recursos humanos, controlo de acesso e gestão de ativos.
- Autenticação multifator (MFA), autenticação contínua, comunicações seguras e comunicações de emergência seguras.
Uma AIPD para uma nova atividade de tratamento biométrico, de análise comportamental ou baseada na nuvem deve, portanto, colocar questões relevantes para a NIS2. O tratamento depende de um novo fornecedor? Introduz uma nova API, SDK, fluxo de identidade ou modelo de acesso? Altera o impacto de incidentes? Exige cifragem, registo de eventos mais robusto, verificações de desenvolvimento seguro ou aprovação da gestão?
A pergunta prática de gestão torna-se simples: a organização consegue provar que uma alteração com impacto na privacidade foi considerada como parte da gestão de riscos de cibersegurança antes da implementação?
Essa prova deve estar visível no formulário de entrada da AIPD, no registo de tratamento atualizado, no Registo de Riscos, no plano de tratamento, na Declaração de Aplicabilidade, na diligência prévia de fornecedores, na evidência de testes de segurança, na aprovação da alteração e na aceitação do risco residual.
DORA: a evidência de alterações de TIC e de terceiros é inevitável
DORA é aplicável desde 17 de janeiro de 2025 e cria um quadro uniforme da UE para gestão do risco das TIC, reporte de incidentes graves relacionados com TIC, testes de resiliência operacional digital, partilha de informações sobre ameaças cibernéticas e vulnerabilidades, gestão do risco de terceiros de TIC e supervisão de prestadores terceiros críticos de serviços de TIC.
Para entidades financeiras, DORA funciona geralmente como ato jurídico setorial específico da União para obrigações de gestão do risco das TIC e reporte de incidentes, enquanto a NIS2 continua relevante para a coordenação mais ampla do ecossistema e para entidades não abrangidas por DORA.
A governação de AIPD é relevante ao abrigo de DORA porque o tratamento de dados pessoais normalmente reside em sistemas de TIC, serviços de terceiros, ambientes de nuvem e fluxos de trabalho operacionais.
O DORA Article 5 exige quadros internos de governação e controlo para a gestão do risco das TIC, com responsabilidade do órgão de gestão. O Article 6 exige um quadro documentado de gestão do risco das TIC integrado na gestão global de riscos. Os Articles 8 a 14 abrangem identificação de ativos e dependências, proteção e prevenção, deteção, continuidade, cópia de segurança, recuperação, lições aprendidas e comunicações de crise.
O DORA Article 28 exige que as entidades financeiras gerem o risco de terceiros de TIC como parte integrante da gestão do risco das TIC e permaneçam responsáveis quando utilizam serviços de TIC. Exige registos de contratos de serviços de TIC, avaliações pré-contratuais, diligência prévia, avaliação do risco de concentração, planeamento de auditorias e inspeções, direitos de cessação e estratégias de saída. O Article 30 exige contratos escritos com descrições claras dos serviços, localizações dos dados, proteções de confidencialidade, integridade e disponibilidade, recuperação e devolução de dados, assistência em incidentes, cooperação com autoridades, direitos de cessação e salvaguardas adicionais para funções críticas ou importantes.
Para uma AIPD, isto altera a pergunta sobre fornecedores. “Temos um Acordo de Tratamento de Dados?” não é suficiente. A melhor pergunta é: conseguimos provar que a dependência de TIC, a localização dos dados, a subcontratação, as normas de segurança, a resiliência, os direitos de auditoria, o suporte a incidentes e a estratégia de saída foram avaliados antes de aprovar o tratamento?
A Política de utilização da nuvem da Clarysec torna explícito este controlo pré-ativação:
“Toda a utilização da nuvem deve ser submetida a diligência prévia baseada no risco antes da ativação, incluindo avaliação do prestador, validação da conformidade legal e revisões de validação de controlos.”
Da secção “Requisitos de governação”, cláusula da política 5.2.
Uma AIPD não deve aprovar um novo subcontratante de análise, fornecedor de identidade, SDK biométrico ou plataforma de telemetria na nuvem salvo se a diligência prévia de nuvem, a validação jurídica e a validação de controlos estiverem concluídas ou forem explicitamente acompanhadas como ações de tratamento.
As âncoras ISO/IEC 27002:2022: privacidade, projetos e alteração
O Zenith Controls: guia de conformidade cruzada da Clarysec trata os controlos ISO/IEC 27002:2022 como âncoras de conformidade cruzada. Para a governação de AIPD, três controlos são especialmente importantes.
| Controlo ISO/IEC 27002:2022 | Porque é importante para a governação de AIPD | Valor de conformidade cruzada |
|---|---|---|
| 5.34 Privacidade e proteção de PII | Exige consciência e proteção dos dados pessoais ao longo do seu ciclo de vida | Suporta a responsabilização pelo RGPD da UE, o Anexo A da ISO/IEC 27001:2022, as medidas de risco NIS2 e as expectativas DORA de proteção de dados |
| 5.8 Segurança da informação na gestão de projetos | Incorpora o pensamento de impacto de segurança e privacidade na conceção do projeto | Suporta privacidade desde a conceção, desenvolvimento seguro e medidas NIS2 de aquisição e desenvolvimento |
| 8.32 Gestão de alterações | Assegura que as alterações são avaliadas, autorizadas, testadas, implementadas e revistas | Suporta o controlo operacional ISO, a governação de alterações de TIC DORA e a rastreabilidade de auditoria |
A entrada do Zenith Controls para 5.34, Privacidade e proteção de PII, classifica-o como preventivo, associado a confidencialidade, integridade e disponibilidade, alinhado com os conceitos de cibersegurança Identificar e Proteger, e ligado à proteção da informação, bem como a capacidades jurídicas e de conformidade.
O Zenith Blueprint, fase Controlos em Ação, etapa 23, destaca o ponto prático:
“A base deste controlo é a consciência dos dados. A organização deve saber que PII recolhe, onde reside, por que motivo está a ser tratada e quem pode aceder a ela.”
A entrada do Zenith Controls para 5.8, Segurança da informação na gestão de projetos, classifica-o como preventivo, associado a confidencialidade, integridade e disponibilidade, alinhado com Identificar e Proteger, e posicionado nos domínios de governação, ecossistema e proteção.
O Zenith Blueprint, fase Controlos em Ação, etapa 22, declara:
“O objetivo deste controlo não é sobrecarregar os projetos com burocracia. É assegurar que a segurança é tratada como um requisito de conceção, não como uma fase de testes.”
A privacidade deve ser tratada da mesma forma. Uma AIPD após a entrada em produção é frequentemente um relatório de danos. Uma AIPD durante a conceção é prevenção de riscos.
A entrada do Zenith Controls para 8.32, Gestão de alterações, classifica-o como preventivo, associado a confidencialidade, integridade e disponibilidade, alinhado com Proteger, e ligado a capacidades de segurança das aplicações e de segurança de sistemas e redes.
O Zenith Blueprint, fase Controlos em Ação, etapa 21, é direto:
“A mudança é inevitável, mas, em cibersegurança, uma mudança não controlada é perigosa.”
A Política de gestão de alterações - PME da Clarysec capta o critério de acionamento:
“Se uma alteração envolver dados sensíveis, direitos de acesso ao sistema ou integrações externas, é necessária uma revisão do impacto na segurança. O contacto designado de segurança ou conformidade deve avaliar se a alteração introduz riscos adicionais e recomendar salvaguardas adicionais.”
Da secção “Tratamento do risco e exceções”, cláusula da política 7.5.1.
Para ambientes empresariais, a Política de gestão de alterações da Clarysec define a expectativa do Conselho Consultivo de Alterações (CAB):
“Avaliar as alterações quanto a riscos de segurança e conformidade antes da aprovação pelo Conselho Consultivo de Alterações.”
Da secção “Papéis e responsabilidades”, cláusula da política 4.6.1.
Exemplo prático: aprovar uma funcionalidade de análise biométrica
Maria não precisa de três projetos de governação separados. Precisa de um único formulário integrado de entrada de projeto e de um fluxo de risco.
A equipa de produto propõe autenticação biométrica de pagamentos com análise comportamental. A funcionalidade recolhe modelos biométricos, metadados do dispositivo, atributos de conta, endereços IP, eventos de autenticação e sinais de fraude. Utiliza um prestador de análise em nuvem e um SDK biométrico de terceiro. As equipas de sucesso do cliente receberão acesso agregado a um painel de gestão.
O registo de alteração deve acionar uma triagem de AIPD e uma avaliação de riscos antes da alocação de recursos ou da aprovação pelo CAB.
| Campo de entrada | Exemplo de resposta |
|---|---|
| Dados pessoais envolvidos | Modelo biométrico, ID de utilizador, endereço IP, metadados do dispositivo, função da conta, eventos de autenticação |
| Finalidade do tratamento | Autenticação de pagamentos, deteção de fraude e análise de sucesso do cliente |
| Fundamento de licitude a confirmar | Necessidade contratual, interesses legítimos ou consentimento explícito, sujeito a revisão pelo EPD |
| Novo fornecedor ou serviço na nuvem | Fornecedor de SDK biométrico e subcontratante de análise em nuvem em região da UE |
| Dados sensíveis ou de categorias especiais | Dados biométricos exigem revisão de alto risco quando utilizados para identificação única |
| Alteração do modelo de acesso | A equipa de sucesso do cliente recebe acesso agregado ao painel de gestão |
| Alteração de conservação | Registos de eventos conservados durante 180 dias, modelos biométricos conservados de acordo com os termos do serviço |
| AIPD necessária | Sim, o tratamento biométrico, a monitorização e a nova dependência de fornecedor exigem revisão |
A avaliação integrada deve então produzir um único dossiê de risco.
| Secção da avaliação | Referencial principal | Perguntas a responder | Evidência ou resultado |
|---|---|---|---|
| Descrição do tratamento | RGPD da UE Article 35 | Que dados são tratados, porquê, por quem e durante quanto tempo? | Fluxo de dados, atualização do RoPA, entrada da AIPD |
| Necessidade e proporcionalidade | RGPD da UE Article 35 | O tratamento é necessário e corresponde à abordagem viável menos intrusiva? | Revisão e justificação pelo EPD |
| Risco para as pessoas | RGPD da UE Article 35 | As pessoas podem enfrentar roubo de identidade, discriminação, definição de perfis, exclusão ou dano financeiro? | Análise de riscos da AIPD e entrada no Registo de Riscos ISO |
| Avaliação de riscos de segurança | ISO/IEC 27001:2022 cláusula 6.1.2 | Que ameaças à confidencialidade, integridade e disponibilidade existem? | Entradas no Registo de Riscos com probabilidade, impacto, proprietário e tratamento |
| Análise de impacto NIS2 | NIS2 Article 21 | A alteração afeta fornecedores, desenvolvimento seguro, controlo de acesso, tratamento de incidentes ou continuidade? | Avaliação de fornecedor, lista de verificação de desenvolvimento seguro, evidência da gestão |
| Análise de resiliência DORA | DORA Articles 8, 9, 24 e 30 | Trata-se de uma alteração de TIC que afeta resiliência, testes ou obrigações contratuais? | Registo de alteração, plano de testes, revisão contratual e evidência de saída |
| Tratamento de riscos e controlos | ISO/IEC 27001:2022 cláusula 6.1.3 | Que medidas técnicas e organizativas e controlos do Anexo A reduzem o risco? | Plano de tratamento e Declaração de Aplicabilidade atualizada |
Exemplos de entradas de risco poderiam ser os seguintes:
| Cenário de risco | Probabilidade | Impacto | Exemplos de tratamento | Mapeamento de controlos |
|---|---|---|---|---|
| Recolha excessiva para além da finalidade declarada | Média | Alto | Revisão de minimização de dados, aprovação do esquema de eventos, limite de conservação | 5.34, 5.31, 8.10 |
| Acesso não autorizado ao painel biométrico ou comportamental | Média | Alto | Acesso baseado em funções, MFA, registo de eventos, revisão trimestral de acessos | 5.15, 5.18, 8.15, 8.16 |
| Configuração incorreta do subcontratante de nuvem expõe telemetria | Baixa | Alto | Diligência prévia de nuvem, cifragem, configuração de referência, monitorização | 5.23, 8.9, 8.24, 8.16 |
| Vulnerabilidade no SDK biométrico compromete dados de autenticação | Média | Alto | Diligência prévia de fornecedores, revisão de desenvolvimento seguro, testes de segurança | 5.21, 8.25, 8.28, 8.29 |
| A definição de perfis cria impacto injusto para o cliente | Média | Alto | Revisão pelo EPD, redação de transparência, tratamento de objeções quando aplicável | 5.34, 5.8 |
Antes da entrada em produção, o registo de alteração deve conter a conclusão da AIPD ou um plano de tratamento aprovado pelo EPD, o registo de tratamento atualizado, a diligência prévia de fornecedores e de nuvem, a revisão do impacto na segurança, resultados dos testes, plano de reversão, plano de monitorização e aprovação do risco residual.
Após a entrada em produção, o proprietário deve verificar logs, alertas, funções de acesso, painéis de gestão, regras de conservação e fluxos de eliminação. Isto fecha o ciclo de alteração planeada ao abrigo da cláusula 8.1 da ISO/IEC 27001:2022 e suporta a disciplina de resiliência operacional ao estilo de DORA.
O que os auditores vão perguntar
Uma AIPD unificada dá a diferentes auditores um trilho de evidência coerente.
| Perspetiva do auditor | Foco provável da auditoria | Evidência que deve existir |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Se alterações significativas acionaram avaliação de riscos, tratamento, atualizações da SoA e controlo operacional | Entrada da AIPD, Registo de Riscos, plano de tratamento, notas da SoA, registo de alteração, trilho de auditoria interna |
| Revisor de privacidade do RGPD da UE | Se o tratamento de alto risco foi avaliado antes da implementação e se as salvaguardas foram documentadas | AIPD, registo de tratamento, análise do fundamento de licitude, revisão pelo EPD, evidência de transparência e conservação |
| Auditor orientado para NIS2 | Se as medidas de risco aprovadas pela gestão cobrem políticas de segurança, cadeia de fornecimento, tratamento de incidentes, continuidade, acesso, cifragem e tratamento de vulnerabilidades | Registos de revisão pelo conselho de administração ou pela gestão, mapeamento de controlos, revisão de fornecedor, ligação com incidentes e continuidade |
| Auditor orientado para DORA | Se a alteração de TIC, dependência de terceiros, resiliência, testes e evidência contratual estão integrados na governação do risco das TIC | Avaliação de risco das TIC, registo de prestadores, cláusulas contratuais, evidência de testes, plano de saída, evidência de suporte a incidentes |
| Avaliador NIST CSF | Se os resultados de governação, risco, ativo, fornecedor, proteção, deteção, resposta e recuperação estão ligados | Perfil atual e alvo, plano de lacunas, inventário de ativos, registos de risco de fornecedores, evidência de monitorização e resposta |
| Auditor COBIT 2019 ou ISACA | Se a habilitação de alterações, gestão de riscos, serviços de segurança e práticas de garantia estão controlados | Registos do CAB, análise de impacto, aprovações, testes, segregação de funções, revisão pós-alteração |
O NIST CSF 2.0 é útil como camada de comunicação porque a sua função GOVERN coloca estratégia, expectativas, política, papéis, supervisão e gestão de riscos da cadeia de fornecimento no centro. O COBIT 2019 acrescenta garantia de processos, especialmente em torno da habilitação estruturada de alterações, análise de impacto, aprovações, testes e avaliação pós-alteração.
Um regulador do RGPD da UE pode começar pelos direitos e liberdades das pessoas. Um auditor ISO pode começar pela avaliação de riscos documentada e pela implementação de controlos. Um revisor DORA pode começar pela dependência de TIC e pela resiliência. Um revisor NIS2 pode começar pela supervisão da gestão e por medidas de cibersegurança proporcionais.
A mesma cadeia de evidência da AIPD deve satisfazer todos.
As decisões de AIPD devem resistir a incidentes
Uma AIPD não é apenas um artefacto de aprovação pré-entrada em produção. Deve melhorar a preparação para violações e incidentes.
O RGPD da UE define uma violação de dados pessoais como uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação não autorizada de dados pessoais ou o acesso não autorizado a dados pessoais. A NIS2 exige a notificação de incidentes significativos sem demora indevida, incluindo um alerta precoce no prazo de 24 horas, uma notificação no prazo de 72 horas e um relatório final o mais tardar um mês após a notificação do incidente. DORA exige que as entidades financeiras detetem, giram, registem eventos, classifiquem, escalem e notifiquem incidentes graves relacionados com TIC através de reporte inicial, intermédio e final, com notificação ao cliente quando os seus interesses financeiros forem afetados.
Se a AIPD registou fluxos de dados, subcontratantes, controlos de acesso, conservação, registo de eventos, cifragem, pseudonimização e responsabilidades de incidentes, a Equipa de Resposta a Incidentes consegue responder mais rapidamente a perguntas críticas. Que dados pessoais estiveram envolvidos? Que sistemas e fornecedores foram afetados? Que pessoas ou clientes podem ser impactados? Havia cifragem implementada? Que logs estão disponíveis? Que prazos de reporte se aplicam? Que comunicações a clientes ou reguladores são necessárias?
É por isso que a governação de AIPD deve ligar-se aos controlos de incidentes da ISO/IEC 27001:2022, aos controlos de continuidade de negócio e aos controlos de preparação de TIC, bem como às expectativas NIS2 e DORA sobre o ciclo de vida dos incidentes.
Falhas comuns na governação de AIPD
As falhas são normalmente causadas por fluxos de trabalho desconectados, não por falta de esforço.
| Falha | Porque cria risco | Melhor prática |
|---|---|---|
| Registo de tratamento atualizado após a entrada em produção | O registo torna-se um inventário histórico em vez de um controlo de conceção | Atualizar o RoPA antes da aprovação |
| Triagem de AIPD ausente do formulário de entrada de alterações | O risco de privacidade é descoberto demasiado tarde | Acrescentar perguntas obrigatórias sobre dados pessoais, fornecedores, acesso e conservação |
| Riscos da AIPD permanecem numa pasta de privacidade | O tratamento de segurança e a aprovação do risco residual não são rastreáveis | Converter conclusões da AIPD em entradas no Registo de Riscos do SGSI |
| Revisões de fornecedores focadas apenas em questionários | Podem ser ignorados finalidade do tratamento, localização dos dados, subcontratantes subsequentes, direitos de auditoria e saída | Combinar diligência prévia de segurança, privacidade, jurídico e resiliência |
| SoA sem racional de privacidade e nuvem | Os auditores veem controlos, mas não a lógica de risco | Mapear controlos para conclusões da AIPD e obrigações do RGPD da UE, NIS2 e DORA |
| Risco residual aceite informalmente | A responsabilização da gestão não é demonstrável | Registar aprovação do EPD, do Proprietário do Risco e da gestão, com condições |
Lista de verificação da governação de AIPD
Utilize esta lista de verificação para integrar AIPD no SGSI, na preparação para NIS2 e na governação de alterações de TIC no âmbito de DORA.
| Atividade de governação | Proprietário | Evidência mínima |
|---|---|---|
| Triagem de AIPD incorporada na entrada de projetos e alterações | Gestor de Alterações e EPD | Formulário de entrada, decisão de acionamento e justificação |
| Registo de tratamento atualizado antes da aprovação | Coordenador de Privacidade ou EPD | Finalidade, fundamento de licitude, categorias de dados, conservação e destinatários |
| Riscos de privacidade traduzidos em riscos do SGSI | Responsável pelo Risco e Proprietário do sistema | Entradas de risco com probabilidade, impacto, proprietário e plano de tratamento |
| Controlos mapeados para a SoA | Gestor do SGSI | Controlos aplicáveis do Anexo A, justificação e estado de implementação |
| Diligência prévia de fornecedor e nuvem concluída | Compras, segurança e jurídico | Avaliação do prestador, cláusulas contratuais, localização dos dados e evidência de saída |
| Testes de segurança e privacidade concluídos | Engenharia e segurança | Resultados dos testes, revisão de acessos, validação de registo de eventos e evidência de vulnerabilidades |
| Risco residual aceite | Proprietário do Risco, EPD e gestão quando necessário | Registo de aprovação, condições e data de revisão |
| Revisão pós-alteração realizada | Proprietário da alteração e proprietário do serviço | Notas de revisão, incidentes, métricas e ações corretivas |
Isto não é burocracia. É responsabilização operacional. Ajuda o CISO a provar que a segurança foi considerada, o EPD a provar que o risco de privacidade foi avaliado, o gestor de conformidade a provar que os controlos estão mapeados entre referenciais e o proprietário do negócio a provar que a inovação foi governada de forma responsável.
Como a Clarysec ajuda
A abordagem da Clarysec foi concebida para organizações que enfrentam obrigações sobrepostas em 2026 e evidência fragmentada.
O conjunto de políticas fornece a linguagem de governação. A Política de proteção de dados e privacidade define quando as AIPD são necessárias e quem as revê. A Política de Gestão de Riscos define como as entradas de risco devem ser estruturadas e mapeadas. A Política de gestão de alterações assegura que os impactos de privacidade e segurança são avaliados antes da aprovação. A Política de utilização da nuvem exige diligência prévia antes da ativação em nuvem.
O Zenith Blueprint fornece o roteiro de implementação. A etapa 13 transforma o Tratamento de Riscos e a Declaração de Aplicabilidade numa ponte de conformidade cruzada. A etapa 22 incorpora a segurança na gestão de projetos. A etapa 21 torna a alteração intencional, justificada e auditável. A etapa 23 transforma a proteção de PII num controlo de ciclo de vida baseado em consciência dos dados, utilização lícita, restrição de acesso, supervisão de fornecedores e processos operacionais de privacidade.
O guia Zenith Controls fornece a bússola de conformidade cruzada. Para a governação de AIPD, os controlos 5.34, 5.8 e 8.32 da ISO/IEC 27002:2022 ligam a proteção da privacidade, a governação de projetos e o controlo de alterações à responsabilização pelo RGPD da UE, às medidas de cibersegurança NIS2, à governação do risco das TIC DORA, aos resultados do NIST CSF e à garantia COBIT 2019.
Se a sua organização se está a preparar para revisões de responsabilização pelo RGPD da UE, certificação ISO/IEC 27001:2022, preparação para NIS2 ou resiliência operacional DORA, comece por integrar critérios de acionamento de AIPD na entrada de projetos e alterações. Ligue as conclusões da AIPD ao Registo de Riscos. Mapeie os tratamentos na SoA. Valide fornecedores e serviços na nuvem antes da ativação. Retenha um único registo de decisão que a gestão, os auditores e os reguladores consigam seguir.
A melhor AIPD não é a que é escrita depois de um regulador a solicitar. É a que moldou o sistema antes de clientes, auditores ou incidentes o testarem.
Reveja o seu processo atual de AIPD face ao conjunto de políticas da Clarysec, utilize o Zenith Blueprint para construir rastreabilidade preparada para auditoria e utilize o Zenith Controls para mapear um único quadro de controlos entre RGPD da UE, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF e COBIT 2019. Depois transforme a sua próxima alteração com impacto na privacidade numa decisão de entrada em produção governada e suportada por evidência, em vez de uma corrida de última hora pela conformidade.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
