O Programa de Proteção de Dados
Os registos e procedimentos que tornam a conformidade demonstrável.
A conformidade demonstra-se com registos e procedimentos, não com declarações. O programa de proteção de dados reúne os elementos que, perante a CNPD ou um titular, provam que a organização cumpre — e é transversal a todas as camadas do ecossistema.
Registo das Atividades de Tratamento
O registo do artigo 30.º: finalidades, categorias de dados e de titulares, destinatários, transferências e prazos de conservação — a espinha dorsal da responsabilização.
Bases de Licitude
A identificação e documentação da base de licitude de cada tratamento, nos termos dos artigos 6.º e 9.º, incluindo a gestão do consentimento quando aplicável.
Avaliações de Impacto (AIPD)
A avaliação dos tratamentos de risco elevado e a gestão do risco residual, nos termos do artigo 35.º.
Contratos de Subcontratação
Os contratos do artigo 28.º que regem os subcontratantes, com as garantias e instruções exigidas.
Segurança do Tratamento
As medidas técnicas e organizativas adequadas ao risco, nos termos do artigo 32.º, em articulação com a cibersegurança.
Gestão de Violações
O procedimento para violações de dados pessoais: a notificação em 72 horas e a comunicação aos titulares, nos termos dos artigos 33.º e 34.º.
Transferências Internacionais
O enquadramento lícito das transferências para países terceiros, nos termos do capítulo V — decisões de adequação, cláusulas contratuais-tipo e medidas suplementares.
Direitos dos Titulares
Os procedimentos que garantem o exercício dos direitos do capítulo III, dentro dos prazos legais.