14.1 C
São Paulo
segunda-feira, julho 22, 2024
InícioCibersegurançaISO/IEC 27701 amplia proteção da privacidade na jornada da conformidade com LGPD

ISO/IEC 27701 amplia proteção da privacidade na jornada da conformidade com LGPD

Já falamos anteriormente neste espaço sobre a importância da obtenção da norma ISO/IEC (International Organization for Standardization e International Electrotechnical Commission) 27001, classificada como o ‘padrão ouro’ às empresas que buscam o gerenciamento de segurança da informação. A norma internacional certifica as empresas, garantindo que elas atendam aos padrões exigidos para garantir confidencialidade, integridade e disponibilidade das informações.

Agora, é a vez de destacar a norma ISO/IEC 27701:2019, que representa uma ampliação voltada à privacidade em relação à ISO/IEC 27001. Seu propósito é aperfeiçoar o Sistema de Gerenciamento de Segurança da Informação (SGSI) já existente, incorporando requisitos suplementares, visando estabelecer, implementar, manter e aprimorar de forma contínua um Sistema de Gerenciamento de Informações de Privacidade (SGIP). 

Ela oferece um modelo para que Controladores de Informações Pessoais Identificáveis (em inglês, Personal Identifiable Information – PII) e Processadores de PII possam administrar os controles desses dados, visando diminuir os riscos relacionados aos direitos de privacidade das pessoas. Sua adoção representa ainda um importante passo para que as organizações estejam em conformidade com a LGPD (Lei Geral de Proteção de Dados).

A ISO/IEC 27701 tem como finalidade ser uma extensão que pode ser certificada junto com as certificações ISO/IEC 27001. Em outras palavras, as organizações que buscam a certificação ISO/IEC 27701 também devem possuir a certificação ISO/IEC 27001.

ISO/IEC 27701
Imagem gerada por Inteligência Artificial (IA)

Importância e Benefícios da Norma

A adoção do SGSI, em conjunto com o SGIP, traz muitos benefícios potenciais aos Controladores de PII e Processadores de PII, com pelo menos três vantagens significativas.

Primeiro, ele é peça chave a fim de alcançar conformidade com requisitos de privacidade (especialmente leis e regulamentos, além de acordos com terceiros, e políticas corporativas, etc.), especialmente se eles não estiverem organizados da maneira mais eficaz aos Controladores de PII e Processadores de PII. 

Organizações sujeitas a múltiplas obrigações de conformidade de privacidade (por exemplo, de várias jurisdições em que operam ou onde os titulares de dados residem) enfrentam encargos adicionais ao conciliar, satisfazer e monitorar todas as cláusulas aplicáveis. 

Uma abordagem gerenciada, como a proposta pela ISO 27701, facilita o ônus de conformidade, por exemplo, conforme demonstrado pelo Anexo C da norma, um único controle de privacidade pode satisfazer vários requisitos do Regulamento Geral de Proteção de Dados (em inglês, General Data Protecion Regulation – GDPR).

Além disso, a ISO 27701 também é peça fundamental para alcançar e manter a conformidade com premissas aplicáveis, sendo uma questão de governança e garantia. Com base no SGIP (e, potencialmente, em sua certificação), os Oficiais de Privacidade ou Proteção de Dados podem fornecer a evidência necessária para assegurar partes interessadas, como alta administração, proprietários e autoridades, de que os requisitos aplicáveis estão satisfeitos.

Por fim, a certificação ISO 27701 pode ser valiosa para comunicar a conformidade com a privacidade a clientes e parceiros. Controladores de PII geralmente exigem evidências dos Processadores de PII de que o sistema de gestão de privacidade dos Processadores de PII adere às exigências aplicáveis. 

Um quadro de evidência uniforme baseado em padrões internacionais pode simplificar bastante essa comunicação de transparência de conformidade, especialmente quando a evidência é validada por um auditor terceirizado credenciado. 

Essa necessidade de comunicação de transparência de conformidade é crítica a decisões estratégicas de negócios, como fusões e aquisições e cenários de co-controladores envolvendo acordos de compartilhamento de dados. A certificação ISO 27701 também pode, potencialmente, ser útil ao sinalizar confiabilidade ao público.

ISO/IEC 27701
Imagem gerada por Inteligência Artificial (IA)

Adesão ainda é baixa no Brasil

A ISO 27701 é uma norma recente, publicada em 2019. Por conta disso, poucas empresas estão certificadas, principalmente no Brasil. Para se ter uma ideia, a primeira empresa certificada ISO 27701 no Brasil foi apenas em 2021. Não é possível determinar com exatidão a quantidade de companhias que possuem a certificação no momento, mas, com certeza,  ainda são poucas no Brasil.

Já vale para a LGPD?

A norma ISO 27701 não garante, por si só, que a empresa estará totalmente aderente à LGPD, mas é um importante passo nesta caminhada. Pois, a legislação brasileira prevê que os controladores e processadores de dados pessoais devem possuir “medidas técnicas e organizacionais” que garantam a proteção e a privacidade dos dados, temas tratados na certificação, que complementa os requisitos já estabelecidos para segurança da informação previstos na ISO/IEC 27001.

Ela oferece um quadro estruturado fazendo com que organizações possam estabelecer, implementar, manter e aprimorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (SGIP). As medidas adicionais adotadas no SGSI, em conjunto com o SGIP, demonstram o comprometimento claro com a conformidade às normativas de proteção de dados.

A norma delineia controles específicos de privacidade, fornecendo orientações sobre como os Controladores de PII e Processadores de PII devem gerenciar tais dados. Assim, contribui com a redução de riscos associados aos direitos das pessoas.

A certificação é uma validação independente de que a organização está adotando as práticas necessárias a fim proteger a privacidade dos indivíduos. Ela deixa claro a busca por desenvolver processos que tenham impacto significativo para atender aos requisitos da LGPD e que querem estar alinhadas com a lei brasileira.

Douglas Lopes
Douglas Lopes
Possuo experiência em Desenvolvimento de Software (Web), Gerenciamento de Projetos, Implementação de Modelos de Desenvolvimento de Software (CMMI e MPS.BR), Gestão de Venda, Marketing e Expansão do Negócio.
Postagens recomendadas
Outras postagens