Percorrer por autor "Diogo, Sandra Alonso"
A mostrar 1 - 1 de 1
Resultados por página
Opções de ordenação
- O papel da auditoria interna no regime geral de proteção de dados enquanto terceira linha de defesaPublication . Diogo, Sandra Alonso; Miranda, Maria da Luz VilelaSegundo o Modelo das Três Linha de Defesa, publicado em 21 de setembro de 2010 pelas FERMA e ECIIA no Guidance on the 8th EU Company law, cabe à Auditoria Interna, enquanto organismo independente, uma avaliação objetiva e isenta da gestão do risco, controlo e governação da organização. Em maio de 2018, tornou-se aplicável em toda a União Europeia o Regime Geral de Proteção de Dados (RGPD) e mais, recentemente em agosto de 2019, foi promulgada a Lei nº 58/2019 que se traduziu numa mudança de abordagem no que respeita às questões relativas à privacidade e segurança de dados pessoais, impondo-se como um novo desafio para as Organizações, trazendo novos riscos para a Gestão, nomeadamente ao nível da Auditoria Interna. Decorrente desta nova regulamentação/Legislação de Proteção de dados, surgiu o Risco de incumprimento do RGPD, um risco de conformidade, que se veio a verificar ser para as Organizações, da maior relevância, designadamente a nível reputacional, com impacto significativo no mercado. Estes novos riscos vêm implicar profundas alterações no Sistema de Controlo Interno das Organizações, veja-se o previsto no Regulamento, Art.º 24.º «Responsabilidade do responsável pelo tratamento» no 1, que determina que, "[...] o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades." Tal deliberação imputa ao responsável pelo tratamento de dados a aplicação das medidas técnicas e organizativas que permitam não só mitigar os riscos como comprovar que as medidas mitigadoras estão em conformidade, são revistas e atualizadas, pressupondo para tal que exista monitorização e consequentes ações de melhoria. Cabe, neste sentido, à Auditoria Interna enquanto terceira linha de defesa (também ao nível do RGPD) realizar as auditorias, de modo a garantir uma validação independente e objetiva, suportada em evidências, da conformidade face aos requisitos do regulamento e legislação, mas, igualmente apurar, se os controlos existentes são efetivos e suficientes para a mitigação dos riscos e quais as melhorias a implementar. No entanto, na alínea a), do Art.º 11º, da Lei 58/2019 são, ainda, definidas como «Funções do Encarregado da Proteção de Dados», para além das previstas nos Art.ºs 37 e 39.º do RGPD," [a]ssegurar a realização de auditorias, quer periódicas, quer não programadas." Levando a que se coloque a seguinte questão: Como diferenciar o papel da Auditoria Interna das atribuições do Encarregado da proteção de dados, em matéria de Auditorias ao RGPD? Ora, na visão do auditor interno, tal não parece significar que a execução destas auditorias, caiba ao EPD ou que esteja ao seu nível de atuação fazê-lo. Tendo como referência o modelo das três linhas de defesa, pode-se constatar que as funções do EPD/DPO, se enquadram no âmbito da segunda linha e não da terceira linha, esta última, correspondendo à Auditoria Interna. Perseguindo este entendimento, desenvolveu-se nesta Dissertação, uma investigação sobre o papel da Auditoria Interna no Regime Geral de Proteção de Dados, enquanto terceira linha de Defesa, por contraponto com as funções a assegurar pelo Encarregado de Proteção de dados, no que respeita à realização das auditorias neste âmbito, no sentido da sua clarificação, tendo-se concluído que a distinção entre estes papeis, não é totalmente clara.