Introdução
Com a criação de leis e regulamentos rigorosos voltados para empresas que realizam o tratamento de dados, ou seja, que coletam, processam e compartilham dados pessoais, essas empresas precisaram se adaptar e garantir a proteção adequada dessas informações. Nesse contexto, em 2019 a ISO (International Organization for Standard) publicou a norma denominada ISO 27701, que surgiu como essencial para a implementação de um sistema de gestão da privacidade da informação (SGPI).
Pelo fato da norma dispor de requisitos para serem implementados e atenderem a demanda da lei, a mesma vem gerando dúvidas quanto à sua correlação e conformidade com a LGPD. Além disso, discutiremos sua relação com a ISO 27001 e a importância dessa combinação para o cumprimento das exigências legais, abordando aspectos relacionados com a sua estrutura e aplicabilidade, entendendo como a norma pode auxiliar as organizações na criação de um ambiente seguro, transparente e em conformidade com as melhores práticas de proteção de dados.
Veremos também como a plataforma Be Standards pode ser uma aliada nesse processo, simplificando a aderência e a gestão dos requisitos das normas ISO. Continue a leitura e descubra como a implementação da ISO 27701 pode ser um diferencial estratégico para a sua organização, garantindo a conformidade legal e a proteção dos dados confiados a você.
ISO 27701/2019
A ISO 27701/2019 é uma das normativas que vem sendo mais procuradas por empresas que realizam tratamento de dados, pois trata-se de um padrão que especifica requisitos para o estabelecimento, implementação, manutenção e melhoria do sistema de gestão da privacidade da informação (SGPI) nas empresas.
A norma é aplicável a todos os tipos e tamanhos de empresas, podendo ser públicas ou privadas, entidades governamentais e organizações sem fins lucrativos que sejam Controladoras de Dados ou Operadoras de Dados.
A empresa que aderir aos requisitos da normativa precisa gerar evidências documentais para comprovar estar em conformidade com o tratamento de Dados. Essas evidências auxiliam na relação com partes interessadas na realização de negócios com parceiros, já que o tratamento de Dados é também de grande importância.
Leia Também
Estrutura da ISO 27701
CAPÍTULO | ISO 27701/2019 |
---|---|
5 | REQUISITOS ESPECÍFICOS DE UM SGPI RELACIONADOS À ABNT NBR ISO/IEC 27001. Requisitos que contemplam os capítulos da ISO 27001. |
6 | DIRETRIZES ESPECÍFICAS DE SGPI RELACIONADAS À ABNT NBR ISO/IEC 27002. Controles que contemplam o Anexo A da ISO 27001 e os capítulos da ISO 27002. |
7 | DIRETRIZES ADICIONAIS DA ABNT NBR ISO/IEC 27002 PARA CONTROLADORES DE DP. Requisitos de conteúdo semelhante ao de controle do Anexo A da ISO 27701/2019. |
8 | DIRETRIZES ADICIONAIS DA ABNT NBR ISO/IEC 27002 PARA OS OPERADORES DE DP. Requisitos de conteúdo semelhante ao de controle do Anexo B da ISO 27701/2019. |
Anexo A | SGPI - REFERÊNCIAS ESPECÍFICAS DE CONTROLES E OBJETIVOS DE CONTROLE (CONTROLADORES DE DP). Apresenta os controles e objetivos de controles específicos de um SGPI para uma organização que atue como um controlador de DP (independentemente se usa ou não um operador de DP, e se está atuando ou não em conjunto com outro controlador de DP). |
Anexo B | SGPI - REFERÊNCIAS ESPECÍFICAS DE CONTROLES E OBJETIVOS DE CONTROLE (OPERADORES DE DP). Apresenta os controles e objetivos de controles específicos para uma organização que atue como um operador de DP. |
O documento possui como foco os requisitos específicos de um SGPI (Sistema de Gestão da Privacidade da Informação), e para estar em conformidade com a normativa, devem ser seguidos os requisitos e controles da ISO 27701 e 27001/2022.
27001 | 27701 |
---|---|
Escopo | Escopo |
Referências Normativas | 2. Referências Normativas |
Termos e Condições | 3. Termos, definições e abreviaturas |
Contexto da Organização | 4. Geral |
Liderança | 5. Requisitos específicos de um SGPI relacionados à ABNT NBR ISO/IEC 27001 |
Planejamento | 6. Requisitos específicos de um SGPI relacionados à ABNT NBR ISO/IEC 27001 |
Apoio | 7. Diretrizes adicionais da ABNT NBR ISO/IEC 27002 para controladores de DP |
Operação | 8. Diretrizes adicionais da ABNT NBR ISO/IEC 27002 para os operadores de DP |
Avaliação de Desempenho | Anexo A. SGPI – Referências específicas de controles e objetivos de controle (Controladores de DP) |
Melhoria | Anexo B. SGPI – Referências específicas de controles e objetivos de controle (Operadores de DP) |
Anexo A |
Relação com a ISO 27001
A norma ISO 27701 foi desenvolvida para complementar a ISO 27001, proporcionando controles mais específicos relacionados à privacidade. Ela permite que as organizações criem um Sistema de Gestão de Privacidade da Informação (SGPI) e obtenham certificação em práticas de privacidade.
Se uma empresa já possui um sistema de segurança da informação, provavelmente está familiarizada com os conceitos de segurança da informação. No entanto, a ISO 27701 garante que as organizações tenham uma governança abrangente de dados e estejam diretamente alinhadas aos requisitos da Lei Geral de Proteção de Dados (LGPD).
Ao combinar a implementação das normas ISO 27701 e ISO 27001, as organizações podem construir confiança e se preparar para cumprir as exigências da LGPD. Isso ocorre porque muitos dos elementos presentes na ISO 27701 estão em conformidade com a LGPD.
Vale ressaltar que as organizações têm a opção de implementar o sistema de gerenciamento definido pela ISO 27701 para um departamento ou serviço específico, caso seja mais adequado em determinadas situações.
Processo de implementação da ISO 27701
Antes de tudo, é importante enfatizar que a implementação da ISO 27701 requer a aplicação da ISO 27001. Em outras palavras, a empresa precisa possuir o certificado da ISO 27001 ou estar em processo de se adequar a ela, pois os controles relacionados ao SGSI (Sistema de gestão da segurança da informação) estão elencados na ISO 27001.
Também, as duas normas podem ser implementadas simultaneamente como um único sistema de gestão. Nesse contexto, é necessário determinar o nível de segurança e privacidade da empresa e estabelecer os objetivos a serem atingidos. Realizar uma análise comparativa entre as práticas atuais e as exigências das normas ISO e LGPD auxilia na elaboração de um plano de ação efetivo.
Ao seguir a estrutura estabelecida pela norma, as empresas estarão cumprindo as exigências de adotar medidas técnicas e organizacionais adequadas para processar e proteger os direitos dos titulares dos dados.
A maioria dos requisitos da ISO 27701 e da LGPD se concentram na proteção e garantia da privacidade de dados pessoais e sensíveis dos usuários (clientes, parceiros, colaboradores), proporcionando maior controle sobre esses dados.
É importante lembrarmos que a ISO 27701 não se limita apenas à LGPD. Trata-se de uma norma que reflete o estado atual de proteção e privacidade de dados nas empresas, ou seja, todas as empresas que coletam, armazenam e processam dados deveriam implementar essa norma.
Mas afinal, como funciona o processo para obter a certificação?
- Fase 1- Consultar um consultor ou planejar a implementação - Para iniciar o processo de implementação a empresa pode optar por contratar um consultor, no entanto, isso não é obrigatório, pois caso a empresa possua profissionais com conhecimento no processo de implantação pode ser feita pela própria empresa.
- Fase 2 - Planejamento e implementação dos controles - Dando início ao projeto, a empresa deverá implementar e documentar procedimentos, políticas, controles, bem como, outras formas de evidenciar o atendimento ao requisito.
- Fase 3 - Auditoria Interna - Ao implementar todos os requisitos exigidos pelas normativas, é necessário o agendamento de uma auditoria interna que irá fazer a verificação de toda documentação e controles implementados para validação ou levantamento de gaps, e ao final é fornecido um relatório completo da auditoria. Ao receber não conformidades a empresa deve corrigi-las para a próxima fase.
- Fase 4 - Revisão - Além da implementação da ISO ser um marco importante para todas as empresas, e que demanda o atendimento minucioso a diversos requisitos, é recomendada a realização da revisão.
- Fase 5 - Auditoria Externa - No final é realizada a auditoria externa por uma empresa credenciada pela International Organization for Standardization e avaliam todo o Sistema de Gestão da Segurança e Privacidade da Informação (ISO 27001 e 27701) . Ao final da auditoria é informada se a empresa está apta para o recebimento da certificação.
A normativa ampara todos os aspectos da Lei Geral Proteção de Dados?
Como podemos observar, uma vez que a ISO é implementada na empresa, ela permite disseminar um sistema de gestão capaz de alcançar a conformidade. Demonstrando o compromisso da empresa com a privacidade e segurança da informação.
Todavia, apesar da norma fornecer informações com relação ao gerenciamento e processamento de dados, garantindo a privacidade das informações conforme é exigido pela Lei Geral de Proteção de Dados, implementar apenas a ISO não garante total conformidade à Lei, porém reduz a trajetória para adequação.
Portanto, os padrões ISO oferecem uma certificação flexível de acordo com as necessidades de cada empresa, trazendo várias vantagens, tais como:
- Maior confiança de clientes e parceiros: Ao obter a certificação ISO, a empresa demonstra que segue práticas de uma norma internacional de segurança e privacidade, o que gera confiança perante todos os steakholders.
- Conformidade com a LGPD: A implementação dos padrões ISO auxilia a empresa a atender aos requisitos da Lei Geral de Proteção de Dados (LGPD).
- Transparência com os titulares dos dados: A empresa certificada ISO adota medidas transparentes em relação ao uso e proteção dos dados dos indivíduos, o que fortalece a confiança e transparência nas relações com os titulares.
- Conscientização sobre segurança da informação: A implementação dos padrões ISO promove uma cultura de conscientização sobre segurança e privacidade da informação entre os colaboradores, tornando-os mais preparados para identificar e lidar com possíveis ameaças.
- Definição de responsabilidades dos colaboradores: Os padrões ISO estabelecem claramente as responsabilidades de cada trabalhador dentro da empresa em relação à segurança e privacidade dos dados.
Conclusão
Como podemos perceber, a privacidade e segurança da informação são essenciais para as empresas, e por isso, implementar as normas ISO 27701 e 27001 demonstra a adoção de boas práticas pela empresa. Além do mais, seguir as normas traz benefícios, vistos em tópico anterior, e por outro lado, previne as empresas com relação a multas e prejuízos.
Sendo importante para eficiência e praticidade do processo de adequação à normativa, contar com profissionais que possuam conhecimento para auxiliar as empresas nesse processo, gerenciar todos os controles internos que foram implementados na organização, posteriormente a certificação.
Como a Be pode contribuir com esse processo?
Pensando em ajudar na aderência, gestão e aplicabilidade dos requisitos dessas importantes certificações, a Be desenvolveu a plataforma de Compliance Regulatório – Be Standards. Na plataforma é possível:
- Organizar todos os requisitos das normativas;
- Armazenar evidências;
- Estabelecer periodicidade para controles internos;
- Fazer a gestão de ativos, determinar responsáveis e revisores para atividades, e muito mais.
Ficou interessado em conhecer a Plataforma? Clique no botão abaixo, e saiba mais sobre a plataforma que vem revolucionando as empresas no Compliance Regulatório.