Publication
O papel da auditoria interna no regime geral de proteção de dados enquanto terceira linha de defesa
| dc.contributor.advisor | Miranda, Maria da Luz Vilela | |
| dc.contributor.author | Diogo, Sandra Alonso | |
| dc.date.accessioned | 2021-05-07T16:42:54Z | |
| dc.date.available | 2021-05-07T16:42:54Z | |
| dc.date.issued | 2021-03 | |
| dc.description | Mestrado em Auditoria | pt_PT |
| dc.description.abstract | Segundo o Modelo das Três Linha de Defesa, publicado em 21 de setembro de 2010 pelas FERMA e ECIIA no Guidance on the 8th EU Company law, cabe à Auditoria Interna, enquanto organismo independente, uma avaliação objetiva e isenta da gestão do risco, controlo e governação da organização. Em maio de 2018, tornou-se aplicável em toda a União Europeia o Regime Geral de Proteção de Dados (RGPD) e mais, recentemente em agosto de 2019, foi promulgada a Lei nº 58/2019 que se traduziu numa mudança de abordagem no que respeita às questões relativas à privacidade e segurança de dados pessoais, impondo-se como um novo desafio para as Organizações, trazendo novos riscos para a Gestão, nomeadamente ao nível da Auditoria Interna. Decorrente desta nova regulamentação/Legislação de Proteção de dados, surgiu o Risco de incumprimento do RGPD, um risco de conformidade, que se veio a verificar ser para as Organizações, da maior relevância, designadamente a nível reputacional, com impacto significativo no mercado. Estes novos riscos vêm implicar profundas alterações no Sistema de Controlo Interno das Organizações, veja-se o previsto no Regulamento, Art.º 24.º «Responsabilidade do responsável pelo tratamento» no 1, que determina que, "[...] o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades." Tal deliberação imputa ao responsável pelo tratamento de dados a aplicação das medidas técnicas e organizativas que permitam não só mitigar os riscos como comprovar que as medidas mitigadoras estão em conformidade, são revistas e atualizadas, pressupondo para tal que exista monitorização e consequentes ações de melhoria. Cabe, neste sentido, à Auditoria Interna enquanto terceira linha de defesa (também ao nível do RGPD) realizar as auditorias, de modo a garantir uma validação independente e objetiva, suportada em evidências, da conformidade face aos requisitos do regulamento e legislação, mas, igualmente apurar, se os controlos existentes são efetivos e suficientes para a mitigação dos riscos e quais as melhorias a implementar. No entanto, na alínea a), do Art.º 11º, da Lei 58/2019 são, ainda, definidas como «Funções do Encarregado da Proteção de Dados», para além das previstas nos Art.ºs 37 e 39.º do RGPD," [a]ssegurar a realização de auditorias, quer periódicas, quer não programadas." Levando a que se coloque a seguinte questão: Como diferenciar o papel da Auditoria Interna das atribuições do Encarregado da proteção de dados, em matéria de Auditorias ao RGPD? Ora, na visão do auditor interno, tal não parece significar que a execução destas auditorias, caiba ao EPD ou que esteja ao seu nível de atuação fazê-lo. Tendo como referência o modelo das três linhas de defesa, pode-se constatar que as funções do EPD/DPO, se enquadram no âmbito da segunda linha e não da terceira linha, esta última, correspondendo à Auditoria Interna. Perseguindo este entendimento, desenvolveu-se nesta Dissertação, uma investigação sobre o papel da Auditoria Interna no Regime Geral de Proteção de Dados, enquanto terceira linha de Defesa, por contraponto com as funções a assegurar pelo Encarregado de Proteção de dados, no que respeita à realização das auditorias neste âmbito, no sentido da sua clarificação, tendo-se concluído que a distinção entre estes papeis, não é totalmente clara. | pt_PT |
| dc.description.abstract | According to the Three Line of Defense Model, published on September 21, 2010 by FERMA and ECIIA in the Guidance on the 8th EU Company law, Internal Audit, as an independent area, is responsible for an objective and exempt assessment of risk management, control and governance of the organization. In May of 2018, the General Data Protection Regulation (GDPR) became applicable throughout the European Union and more recently in August 2019, Law 58/2019 was enacted, which translated in a change of approach with regard to issues related to privacy and security of personal data, imposing itself as a new challenge for Organizations, it brought new Risks for Management, namely in terms of Internal Audit. As a result of this new regulation/Data Protection Legislation, The GDPR non- compliance risk arose, a compliance risk, which proved to be of the utmost relevance for Organizations, namely at reputational level, with a significant impact on the Market. These new risks imply profound changes in the Organizations' Internal Control System, according with the Regulation, Art. 24 «Responsibility of the controller» nr.1, determines that, [...] the controller shall implement appropriate technical and organizational to ensure and be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary." Such a decision imputes to the data controller the application of technical and organizational measures that allow not only to mitigate risks, but also to prove that the mitigating measures are in conformity, are reviewed and updated, assuming that there is monitoring and consequent improvement actions. In this sense, it is up to the Internal Audit as the third line of defense (also at the level of the GDPR) to carry out the audits, in order to guarantee an independent and objective validation, supported by evidence, of the compliance with the requirements of the regulation and legislation, but, also to ascertain, whether the existing controls are effective and sufficient to mitigate risks and what improvement actions should be implemented. However, in Article 11 (a), of Law 58/2019, they are also defined as “Data Protection Officer Functions”, in addition to those provided for in Articles 37 and 39 of the GDPR, "[e]nsure the performance of audits, whether periodic or unscheduled." Leading to the following question: How to differentiate the role of Internal Audit from the duties of the Data Protection Officer, in terms of Audits to the GDPR? Although, in the view of the internal auditor, this does not seem to mean that the execution of these audits is the responsibility of the EPD or that it is at its level of performance to do so. Having as reference the model of the three lines of defense, it can be seen, that the functions of the EPD / DPO, fall within the scope of the second line and not the third line, the latter, corresponding to the Internal Audit. Pursuing this understanding, this dissertation developed an investigation into the role of Internal Audit in the General Data Protection Regime, as the third line of defense, in contrast to the functions to be performed by the Data Protection Officer, with regard to the carrying out audits in this area, in order to clarify them, having concluded that the distinction between these roles is not entirely clear. | pt_PT |
| dc.description.version | info:eu-repo/semantics/publishedVersion | pt_PT |
| dc.identifier.citation | Diogo, S. A. (2021). O papel da auditoria interna no regime geral de proteção de dados enquanto terceira linha de defesa. (Dissertação de mestrado não publicada). Instituto Politécnico de Lisboa, Instituto Superior de Contabilidade e Administração de Lisboa. Disponível em http://hdl.handle.net/10400.21/13312 | pt_PT |
| dc.identifier.uri | http://hdl.handle.net/10400.21/13312 | |
| dc.language.iso | por | pt_PT |
| dc.peerreviewed | yes | pt_PT |
| dc.publisher | ISCAL | pt_PT |
| dc.subject | Auditoria interna | pt_PT |
| dc.subject | Regime Geral de Proteção de Dados (RGPD) | pt_PT |
| dc.subject | Modelo das três linhas de defesa | pt_PT |
| dc.subject | Terceira linha de defesa | pt_PT |
| dc.subject | Internal audit | pt_PT |
| dc.subject | General Data Protection Regime (GDPR) | pt_PT |
| dc.subject | Three lines of defense model | pt_PT |
| dc.subject | Third line of defense | pt_PT |
| dc.subject | Data protection officer | pt_PT |
| dc.title | O papel da auditoria interna no regime geral de proteção de dados enquanto terceira linha de defesa | pt_PT |
| dc.type | master thesis | |
| dspace.entity.type | Publication | |
| oaire.citation.conferencePlace | ISCAL | pt_PT |
| oaire.citation.title | Dissertação de Mestrado | pt_PT |
| rcaap.rights | openAccess | pt_PT |
| rcaap.type | masterThesis | pt_PT |
Files
Original bundle
1 - 1 of 1
No Thumbnail Available
- Name:
- Dissertaá∆o Mestrado_Vers∆o_Definitiva_Sandra Diogo_20180304_05_03_2021.pdf
- Size:
- 2.71 MB
- Format:
- Adobe Portable Document Format