Bem vindos a mais um artigo com a visão executiva da família de normas ISO/IEC 27000 sobre segurança da informação, cybersecurity e proteção da privacidade. Desta vez falaremos da ISO 27701, extensão da famosa ISO 27001, que acrescenta requisitos e diretrizes ao Sistema de Gestão de Segurança da Informação com novos controles para a Privacidade da Informação, interessante para a conformidade com a LGPD - Lei Geral de Proteção de Dados Pessoais.
Logo no início do documento, a norma internacional ISO 27701 estabelece que sua implementação deve considerar o contexto específico de cada organização, principalmente caso exista legislação ou regulamentação nacional. É o caso do Brasil, com a LGPD, Lei13.709/2018- Lei Geral de Proteção de Dados Pessoais, que dispõe sobre o tratamento de dados pessoais.
Refletindo este contexto no Brasil, a tradução da versão nacional da norma (ABNT ISO/IEC 27701:2019) preocupou-se em adaptar a terminologia para expressões em uso corrente no país. Por exemplo, traduzindo “PII - Personally Identifiable Information” por "DP - Dados Pessoais", "processor" por "operador" e "principal" por "titular", termos comumente utilizados e adotados pela lei nacional.
LGPD, Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
...
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Assim como a LGPD, a ISO 27701 também se aplica a todos os tipos e tamanhos de organizações, incluindo companhias públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladoras ou operadoras de dados pessoais. A diferença é que a LGPD deve ser aplicada em toda a organização, enquanto a ISO 27701 pode ser implementada em um escopo mais definido.
Outras considerações do contexto que devem ser considerados para a privacidade da informação são os requisitos legais e regulatórios, obrigações contratuais e as necessidades e expectativas das partes interessadas, incluindo titulares dos dados pessoais, clientes, autoridades supervisoras, terceiros e subcontratados.
Como outras normas para sistemas de gestão, a ISO 27701 adota a abordagem do PDCA (Plan-Do-Check-Act) além da necessidade de um processo de avaliação e tratamento de riscos.
Contém ainda requisitos para demonstrar a liderança e comprometimento da alta direção bem como políticas definidas com autoridades, responsabilidades e papéis organizacionais.
Como benefícios para sua adoção, a ISO 27701 facilita a prestação de contas, com evidências documentais de que a organização trata adequadamente os dados pessoais. Neste sentido, a norma internacional possui um anexo do mapeamento com o GDPR - General Data
Protection Regulation e na versão brasileira, mapeamento também para atender as obrigações da LGPD.
LGPD, Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
...
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Em conjunto com a ISO/IEC 27001, a norma pode ser usada também para certificação. É o caso de algumas empresas brasileiras como a Modulo Security, @modulo e a Boa Vista, @boavista. Para mais informações recomendo a gravação da Live específica que fizemos sobre benefícios, desafios e experiências destas certificações.
Segue também convite para nossa próxima Live, 12/5, 10h30: Governança em Privacidade e o Escritório do DPO.
Até a próxima,
Alberto.
