AISO 27557é uma norma internacional que estabelece diretrizes específicas para a gestão de riscos de privacidade organizacional. Ela se destina a ajudar as organizações a entender e gerenciar os riscos associados ao tratamento de dados pessoais (DP) e outras questões de privacidade. Parte da série de normas27xxxdaISO, relacionadas à segurança da informação, segurança cibernética e proteção da privacidade, aISO 27557enfatiza a necessidade de integrar a gestão de riscos de privacidade com a estrutura global da organização, levando em consideração pessoas, processos e tecnologia.
Com o título completo oficial de ISO/IEC 27557:2022 - Segurança da Informação, segurança cibernética e proteção da privacidade - Aplicação da ABNT NBR ISO 31000:2018, sua versão brasileira esteve em Consulta Nacional pela Associação Brasileira de Normas Técnicas (ABNT) até 14 de agosto. Durante esse período, indivíduos e organizações tiveram a oportunidade de analisar o documento e enviar comentários e sugestões. Após apreciar todas as contribuições, o próximo passo é a publicação da norma no Brasil, solidificando seu papel na orientação das práticas de privacidade no país.
Esta norma vai além da mera conformidade com regulamentações e leis aplicáveis, focando na criação de uma cultura organizacional que reconhece e responde ativamente aos riscos de privacidade. Além disso, alinha-se com outras normas relevantes como a ABNT NBR ISO 31000:2018, fornecendo um framework sólido que pode ser integrado em um Sistema de Gestão de Privacidade da Informação (SGPI).
A seguir, uma visão geral da abordagem holística da estrutura (framework) proposta pela ISO 27557 para a gestão de riscos de privacidade organizacional:
5.2 Liderança e Comprometimento
Liderança e Comprometimentodesempenha um papel crucial na estrutura da gestão de riscos de privacidade organizacional, destacando a importância da conscientização e do comprometimento da Alta Direção nas questões de privacidade.
A liderança é incentivada a desenvolver uma compreensão profunda dos tópicos pertinentes, tais como:
- As regulamentações e leis de privacidade aplicáveis à organização;
- As obrigações de privacidade que a organização tem para com os indivíduos;
- A maneira como o tratamento de dados pessoais (DP) pode impactar os indivíduos;
- As preocupações específicas, riscos, vulnerabilidades, impactos e consequências organizacionais relacionadas à privacidade e ao tratamento de DP.
Essa seção também enfatiza que, quando uma organização implementa um Sistema de Gestão de Privacidade da Informação (SGPI), conforme especificado na ABNT NBR ISO/IEC 27701, é fundamental que esteja ciente e comprometida com a integração da gestão de riscos de privacidade relativos aos aspectos relevantes do SGPI.
5.3 Integração
Integração é um item chave daEstrutura, de forma que a gestão de riscos de privacidade organizacional seja integrada em toda a estrutura da organização. Vai além da simples implementação de políticas ou procedimentos; trata-se de uma fusão das práticas de gestão de riscos de privacidade com as operações cotidianas da organização.
- Integração com a Estrutura Organizacional:A Alta Direção e os órgãos de supervisão devem garantir que a gestão de riscos de privacidade seja integrada na estrutura completa da organização. Isso inclui a sinergia com pessoas, processos e tecnologia, assegurando que a abordagem à privacidade seja congruente com os valores, a cultura e a estratégia de negócios da organização.
- Dependência dos Processos Operacionais: A integração é ajustada e alinhada com os processos operacionais da organização. Não é uma abordagem "tamanho único"; deve ser moldada de acordo com a natureza específica e as necessidades da organização.
- Integração com o SGPI:Quando uma organização implementa um Sistema de Gestão de Privacidade da Informação (SGPI), o processo de gestão de riscos de privacidade organizacional deve ser integrado aos aspectos do SGPI. Isso garante uma abordagem unificada, onde a gestão de riscos de privacidade não é tratada isoladamente, mas como parte de um sistema coeso.
5.4 Concepção
A Concepção estabelece um conjunto abrangente de diretrizes para estruturar uma estratégia de gestão de riscos de privacidade que seja efetiva e personalizada para a organização. Esta seção da norma se divide em vários itens, destacando a importância da compreensão profunda, da atribuição de responsabilidades, da alocação de recursos e da comunicação e consulta efetivas.
- 5.4.1 Entendendo a Organização e Seu Contexto:Enfatiza a necessidade de avaliar o papel da organização em relação ao tratamento de dados pessoais (DP). Inclui compreender a posição da organização como controlador, operador, fabricante ou outros, e a importância desse entendimento para criar uma estrutura de gestão de riscos eficaz.
- 5.4.2 Articulando o Comprometimento com a Gestão de Riscos: É uma declaração de intenção clara sobre a postura da organização em relação à gestão de riscos relacionada ao tratamento de DP.
- 5.4.3 Atribuindo Papéis Organizacionais, Autoridades, Responsabilidades e Responsabilizações:Reforça a importância de identificar e enfatizar que a gestão de riscos de privacidade é uma responsabilidade central na organização. Designa indivíduos com autoridade e responsabilidade específicas para gerenciar riscos relacionados à privacidade, assegurando que haja clareza e foco na implementação de medidas de privacidade.
- 5.4.4 Alocando Recursos: Enfatiza a necessidade de alocar recursos adequados, incluindo conhecimento especializado, habilidades e treinamento em questões de privacidade.
- 5.4.5 Estabelecendo Comunicação e Consulta: Enfatiza a importância da comunicação e consulta dentro e fora da organização sobre a gestão de riscos de privacidade.
5.5 Implementação
A Implementação trata das estratégias de gestão de riscos de privacidade, com o foco na aplicação prática das diretrizes estabelecidas na ISO 31000, a partir de um processo estruturado e coordenado para implementar efetivamente os planos de gestão de riscos de privacidade. A organização deve garantir que a estrutura de gestão de riscos esteja alinhada com seus objetivos gerais e seja incorporada em sua operação diária.
5.6 Avaliação
A Avaliação enfatiza a necessidade de uma avaliação contínua e detalhada da gestão de riscos de privacidade, identificando e entendendo a eficácia das medidas implementadas e detectando qualquer área que possa necessitar de ajustes ou melhorias. As orientações da ISO 31000 são também aplicadas aqui, incentivando uma avaliação abrangente que inclui tanto a análise qualitativa quanto quantitativa dos riscos e das estratégias de tratamento.
5.7 Melhoria
A Melhoria foca no aperfeiçoamento contínuo da gestão de riscos de privacidade e é dividida em dois subitens:
- 5.7.1 Adaptação:Necessidade de adaptar a gestão de riscos de privacidade em resposta às mudanças nas condições, como alterações na legislação ou no ambiente operacional, com a capacidade de adaptar-se rapidamente a essas mudanças.
- 5.7.2 Melhoria Contínua:Vital para qualquer sistema de gestão, a organização deve buscar constantemente maneiras de aprimorar sua gestão de riscos de privacidade, não apenas corrigindo falhas, mas também identificando oportunidades para inovar e otimizar o sistema.
Neste artigo buscamos delinear e resumir a Estrutura (Framework) para Gestão de Riscos de Privacidade Organizacional segundo a ISO 27557. Em harmonia com a ISO 31000, a norma é uma ferramenta valiosa para que as organizações aprimorem seus processos em relação à privacidade e segurança dos dados.
Esta Estrutura delineada na norma, estabelece uma abordagem holística e estratégica que vai desde a liderança e comprometimento, passando pela integração com a estrutura organizacional, concepção bem fundamentada, até a implementação, avaliação e melhoria contínua.
A ISO 27557 estava em Consulta Nacional pela ABNT até 14 de agosto, e o próximo passo após avaliar as contribuições é a sua publicação no Brasil como norma brasileira. Esse marco reflete a importância crescente da gestão de riscos de privacidade na era digital.
A adoção deste Framework é um passo fundamental para empresas de todos os tamanhos e setores, demonstrando compromisso com a proteção de dados e a integridade na gestão de riscos de privacidade.
Abraços e até a próxima,
