As equipas de privacidade produzem muita evidência: registos de tratamento, AIPD, prazos de conservação, registos de consentimento, avaliações de transferência. O erro é arquivar essa evidência por framework. Fazendo-o, a mesma política de retenção vive na pasta do RGPD, na da ISO 27701 e na do AI Act — três cópias, três problemas de atualização.
A evidência pertence a um controlo, não a um framework
Anexe a evidência ao controlo que ela demonstra e deixe os frameworks referenciarem o controlo. O seu prazo de conservação anexa-se uma vez a um controlo de “governance de retenção”. O RGPD, a ISO 27701 e qualquer outro framework que dele precise herdam a mesma evidência — com um só histórico de versões.
Um exemplo de privacidade
- Os registos de tratamento evidenciam um controlo que o RGPD (Art. 30.º) e a ISO 27701 referenciam.
- Uma AIPD pode servir também como parte de uma Avaliação de Impacto sobre Direitos Fundamentais ao abrigo do AI Act quando a IA trata dados pessoais.
- Os controlos de acesso evidenciam a segurança do tratamento do RGPD e a ISO 27001 ao mesmo tempo.
Porque importa para além da arrumação
A reutilização não é só conveniência — é rigor. Uma única fonte de verdade significa que um documento atualizado se atualiza em todo o lado instantaneamente, pelo que um auditor nunca vê uma cópia desatualizada. Torna também a expansão barata: adicionar a ISO 27701 sobre um programa RGPD existente torna-se um exercício de mapeamento, não um projeto de redocumentação.
O princípio é simples e escala a todos os domínios: capture uma vez, reutilize em todo o lado.