Uma nova norma da série ISO 27000 está atualmente em Consulta Nacional pela ABNT - Associação Brasileira de Normas Técnicas, é a NBR ISO/IEC 27557, com uma abordagem unificada para gestão de riscos de segurança da informação e de privacidade baseada na ISO 31000. Este processo é aberto a todos que desejam participar, permitindo a análise do documento e o envio de comentários e sugestões até o dia 10 de agosto.
Tradicionalmente, a gestão de riscos de segurança da informação tem sido mais orientada para os riscos das organizações, enquanto os riscos de privacidade e tratamento de dados pessoais (DP) tem se concentrado principalmente nos impactos nas pessoas. Entretanto, essa distinção pode não ser suficiente, especialmente considerando o contexto atual de crescente interconexão digital.
Em resposta a esse cenário, a ISO - International Organization for Standardization introduziu esta norma 27557, que unifica as duas abordagens para gestão de riscos, expandindo as diretrizes gerais da ABNT NBR ISO 31000 com considerações específicas para o risco de privacidade organizacional, conforme requerido pelo Sistema de Gestão de Privacidade da Informação - SGPI (ISO/IEC 27701).
A norma é voltada para todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, governo e organizações sem fins lucrativos.
Composto por diferentes seções alinhadas a ISO 31000, o documento detalha os princípios de gestão de riscos de privacidade, estrutura (framework), processo e anexos informativos com exemplos e modelos úteis para as organizações. O objetivo é auxiliar as empresas na implementação de um programa de privacidade baseado em riscos, que pode ser integrado à sua gestão de riscos corporativos.
O documento fornece também uma seção específica com Termos e Definições utilizados na norma, como "sistema de gestão da privacidade da informação(SGPI)", "evento de privacidade" e "impacto de privacidade".
A ISO 27577 inclui umaNOTA BRASILEIRAque esclarece o motivo para tradução do termo “personally identifiable information(PII)”, por “dados pessoais” (DP) pelo uso corrente da expressão no Brasil, além de sua adoção pela Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais – LGPD).
Esta norma surge em um contexto de interesse crescente pela proteção de dados pessoais e privacidade, impulsionado por mudanças legislativas globais e uma maior conscientização da importância da proteção da privacidade. Em particular, no Brasil, importante para buscar a conformidade com a LGPD - Lei Geral de Proteção de Dados Pessoais, incorporando a privacidade na gestão de riscos, e assim melhorando sua reputação, e evitando impactos negativos nos resultados e perspectivas futuras de crescimento.
Para participar da Consulta Nacional, basta acessar o site daABNT, encontrar a seção da normaISO/IEC 27557e seguir as instruções para enviar comentários e sugestões. Essa é uma oportunidade relevante para a melhoria da segurança da informação, proteção de dados pessoais e da privacidade no Brasil. Participe!
Abraços e até a próxima,
