Reutilizar evidência RGPD na ISO 27701 e no AI Act

Deixe de duplicar documentos. Mapeie a evidência uma vez e deixe-a satisfazer todos os requisitos que a referenciam.

Equipa iComply
Governance de IA

As equipas de privacidade produzem muita evidência: registos de tratamento, AIPD, prazos de conservação, registos de consentimento, avaliações de transferência. O erro é arquivar essa evidência por framework. Fazendo-o, a mesma política de retenção vive na pasta do RGPD, na da ISO 27701 e na do AI Act — três cópias, três problemas de atualização.

A evidência pertence a um controlo, não a um framework

Anexe a evidência ao controlo que ela demonstra e deixe os frameworks referenciarem o controlo. O seu prazo de conservação anexa-se uma vez a um controlo de “governance de retenção”. O RGPD, a ISO 27701 e qualquer outro framework que dele precise herdam a mesma evidência — com um só histórico de versões.

Um exemplo de privacidade

  • Os registos de tratamento evidenciam um controlo que o RGPD (Art. 30.º) e a ISO 27701 referenciam.
  • Uma AIPD pode servir também como parte de uma Avaliação de Impacto sobre Direitos Fundamentais ao abrigo do AI Act quando a IA trata dados pessoais.
  • Os controlos de acesso evidenciam a segurança do tratamento do RGPD e a ISO 27001 ao mesmo tempo.

Porque importa para além da arrumação

A reutilização não é só conveniência — é rigor. Uma única fonte de verdade significa que um documento atualizado se atualiza em todo o lado instantaneamente, pelo que um auditor nunca vê uma cópia desatualizada. Torna também a expansão barata: adicionar a ISO 27701 sobre um programa RGPD existente torna-se um exercício de mapeamento, não um projeto de redocumentação.

O princípio é simples e escala a todos os domínios: capture uma vez, reutilize em todo o lado.

Veja como a iComply operacionaliza isto

Uma plataforma para cada norma, lei e risco — centrada em controlos e nativa em IA.