Cybersecurity e Boas Práticas

Como as Normas ISO Podem Ajudar na Conformidade com a LGPD

Com a chegada da LGPD, as organizações precisam adaptar suas abordagens de proteção de dados pessoais para cumprir os requisitos legais, incluindo a adoção das melhores práticas, conforme determinado pelo Artigo 46 da Lei. Em vez de reinventar a roda e desenvolver soluções do zero, as organizações podem se apoiar em normas amplamente testadas e reconhecidas, como as normas ISO, que oferecem diretrizes para questões que vão desde a segurança da informação até a gestão de riscos e a proteção de dados pessoais.


Estas normas funcionam como uma espécie de manual de instruções permitindo que as empresas aproveitem soluções prontas e bem estabelecidas para alcançar a conformidade com a LGPD. Criadas por meio de um processo colaborativo que envolve especialistas de diversos países e setores, a elaboração de uma norma ISO começa com a identificação de uma necessidade específica de padronização, que pode ser proposta por organismos nacionais de normalização, indústrias, associações ou outros interessados. A ISO, então, forma um comitê técnico composto por especialistas que elaboram o rascunho da norma, que passa por revisões internas e é submetido a consulta pública para receber comentários de diferentes partes interessadas. Após este processo de revisão, a norma é submetida à votação dos membros da ISO e, se aprovada, publicada oficialmente.


Esse processo da ISO assegura que as normas reflitam um consenso global e as melhores práticas disponíveis, sendo que normas como a ISO/IEC 27701 e a ISO 31000, por exemplo, são desenvolvidas com base em experiências reais e são atualizadas regularmente para se manterem relevantes. Para organizações que precisam se adequar à LGPD, as normas ISO oferecem um caminho testado e eficaz, evitando a necessidade de criar soluções de conformidade do zero.

Algumas da normas ISO para ajudar a conformidade com LGPD


  • ISO/IEC 27701 – Gestão de Informações de Privacidade: da série 27000, é a norma específica para a gestão de privacidade da informação, aplicável para conformidade com a LGPD. Fornece diretrizes para implementar um Sistema de Gestão de Privacidade da Informação (SGPI), apoiando as organizações a proteger dados pessoais e atender aos requisitos legais, por meio de uma abordagem estruturada e sistemática, de acordo com os princípios de privacidade, como consentimento, transparência e responsabilidade.
  • ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação: proteger dados pessoais, como exige a LGPD, é, antes de tudo, garantir a segurança da informação, e a ISO/IEC 27001 é a norma globalmente reconhecida para esse fim. Define os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Na conformidade com a LGPD, ajuda a proteger dados pessoais contra acessos não autorizados, vazamentos e outras ameaças à segurança.
  • ISO 31000 – Gestão de Riscos: LGPD é uma lei que aborda a gestão de riscos, e a ISO 31000 permite criar e implementar um sistema de gestão corporativo que inclui os riscos relacionados à privacidade e proteção de dados pessoais. A norma fornece diretrizes para a gestão de riscos em qualquer tipo de organização, ajudando a identificar, avaliar e tratar riscos associados ao contexto de proteção de dados pessoais, garantindo uma abordagem estruturada para atender às exigências de conformidade.
  • ISO 37301 – Sistemas de Gestão de Compliance: atender aos requisitos da LGPD é, acima de tudo, uma questão de compliance, e a ISO 37301 estabelece requisitos para o desenvolvimento, implementação, manutenção e melhoria de um sistema de gestão de compliance. Neste contexto da LGPD, pode ser utilizada para assegurar que todas as práticas de tratamento de dados pessoais estejam em conformidade com a lei, criando políticas e procedimentos e respondendo a violações de dados e outros incidentes relacionados à privacidade.
  • ISO/IEC 27002 – Código de Prática para Controles de Segurança da Informação: fornece diretrizes para a implementação de 93 controles de segurança da informação, sendo relevante para a conformidade com a LGPD. Na prática, a adoção dessa norma auxilia as organizações a identificar e implementar os controles mais adequados, garantindo uma proteção eficaz contra acessos não autorizados, vazamentos e outras ameaças, atendendo assim às exigências legais da LGPD.

Ao adotar essas normas ISO, as organizações evitam o esforço de criar sua própria abordagem de conformidade do zero e se beneficiam de diretrizes amplamente reconhecidas, fruto do trabalho de especialistas de diversos setores e países. Essas normas oferecem um consenso global sobre as melhores práticas, permitindo que a conformidade com a LGPD torne-se mais rápida, segura e alinhada aos padrões internacionais, fortalecendo a proteção dos dados pessoais e a confiança das partes interessadas.


Para se aprofundar no conhecimento dessas normas e colaborar em seu desenvolvimento, participe dos grupos de trabalho da ABNT - Associação Brasileira de Normas Técnicas, que representa o Brasil na ISO. Esses grupos oferecem a oportunidade de contribuir diretamente para a elaboração e revisão das normas, trazendo suas experiências, fazendo networking e aprendendo com especialistas de diversas áreas. Se tiver interesse em colaborar com algumas dessas normas, envie uma mensagem para mim no e-mail abastos@modulo.com.

Abraços, e até a próxima!


Alberto Bastos, @albastos

ISO 27005 ISO 27001/2 ISO 27701
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato