Você sabe do que trata a ISO 27701? Conheça essa norma e entenda a sua relação com a gestão da privacidade.
Há alguns anos acontece um grande movimento internacional de implantação de legislações sobre a gestão da privacidade, segurança da informação e proteção de dados. A partir do Regulamento Geral sobre a Proteção de Dados (GDPR), criado pela União Europeia, diversos países estão desenvolvendo suas próprias legislações, como a Lei Geral de Proteção de Dados Pessoais (LGPD) sancionada também em 2018 aqui no Brasil.
Com isso, surge a necessidade de normatizar os sistemas de gerenciamento de informações. Assim nasce a ISO 27701. A norma fornece um guia para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações Privadas.
Vamos conhecer a ISO 27701?
Leia também: O que é Gestão de Privacidade? Entenda aqui
O que é ISO 27701?
Para entender o que é ISO 27701 primeiro precisamos saber o que exatamente é uma norma ISO.
O que é ISO?
A sigla ISO vem do inglês que significa International Organization for Standardization (em português, Organização Internacional para Padronização), e ela é uma fundação voltada para a normatização e padronização, que se originou em 1947, em Genebra, na Suíça.
O principal foco da ISO é aplicar normas internacionais em todos os campos, como normas técnicas, de procedimentos e processos, classificações de países e afins. No Brasil, a entidade é representada pela ABNT (Associação Brasileira de Normas Técnicas).
Desta forma, o objetivo da ISO é conceder um conjunto de condições que, bem implementados, assegurem uma maior confiabilidade na empresa e atestem que ela é capaz de fornecer regularmente produtos e serviços que atendam às necessidades e as expectativas de seus clientes, e que estão em conformidade com as leis e regulamentos aplicáveis.
Para alcançar o seu propósito, a ISO fomenta internacionalmente a normatização de empresas e produtos, sempre visando a certificação de sua qualidade.
Para que uma organização, serviço ou produto tenha um certificado ISO, é fundamental passar por um projeto com várias etapas, garantindo que a implementação dos processos seja feita corretamente e de acordo com cada norma técnica estabelecida.
O rigor na verificação de todas as etapas auxilia empresas nas mais diferentes áreas para buscarem excelência a partir de referências internacionalmente reconhecidas.
Leia também: Privacy by design: entenda o conceito e a importância para sua empresa
Então, o que é ISO 27701?
A norma ISO 27701 é um padrão internacional publicado em 05 de agosto de 2019 com o escopo de estabelecer controles de segurança para proteção de dados, sendo uma ferramenta importante para aplicação prática das diretrizes da General Data Protection Regulation (GDPR) e Lei Geral de Proteção de Dados (LGPD).
Ou seja, a ISO 27701 especifica os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão de privacidade da informação (SGPI).
A ISO 27701 nasce como uma extensão de requisitos da ISO 27001 e de diretrizes da 27002, todos focados em privacidade da informação e não em um sistema de gestão próprio. A norma complementa as demais normas de segurança da informação com seus requisitos específicos.
Para o pleno entendimento da ISO 27701 há que se considerar que ela se relaciona a todo instante com as normas de segurança da informação, ora ampliando diretrizes e requisitos, ora criando novas e específicas, até mesmo mantendo as diretrizes já disciplinadas nas normas de segurança da informação.
A importância da ISO 27701 se dá ao fato de garantir o cumprimento efetivo da LGPD, facilitando a implantação de políticas de segurança e proteção de dados e garantindo a confidencialidade, integridade e disponibilidade da informação.
TERMOS A SEREM DESTACADOS DA ISO 27701
Alguns termos da ISO 27701 possuem uma associação direta com termos da LGPD, o que mostra a íntima relação entre a lei e a norma de extensão. São eles:
- PII – Personally Identifiable Information – (LGPD: Dado Pessoal): Dados que possam permitir a identificação do Titular dos Dados.
- PII Controller (LGPD: Controlador de Dados): é a parte interessada que determina os objetivos e meios pelos quais os dados pessoais serão tratados;
- PII Processor (LGPD: Processador de Dados): é a parte interessada que trata/processa os dados pessoais para o Controlador de Dados, seguindo suas instruções;
- PII Principal (LGPD: Titular dos Dados): pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Leia também: Descubra os benefícios da Gestão de Privacidade para sua empresa
Quem deve adotar a ISO 27701?
Uma vez que todas as empresas e instituições estão sob vigência da LGPD, a ISO 27701 é aplicável a todos os tipos e tamanhos de organizações, tanto públicas quanto privadas, organizações controladoras e operadoras de dados pessoais e tem relação com as normas técnicas que lhe dão suporte para a implementação da conformidade.
O que é necessário para implementar a ISO 27701?
Considerando que a ISO 27701 é um desdobramento de normas anteriores conforme visto anteriormente, para implementação da ISO 27701 é necessário que a ISO 27001 seja implementada também. Para isso, é imperativo que a empresa já tenha certificado ou esteja em processo de certificação da ISO 27001.
Em casos em que a empresa não tenha a ISO 27001, cumpre ressaltar que ela terá que fazer a implementação da ISO 27001 e da ISO 27701 em conjunto. Essa estratégia é recomendável e faz com que a implementação seja feita com menos esforço e dificuldades.
Para encaminhar a implementação e certificação da ISO 27701 é fundamental que a empresa realize um diagnóstico especializado em ISO 27001 e ISO 27701 para identificar o nível de prontidão da instituição em relação às exigências das normas.
Ainda, recomendamos a contratação de treinamento para as equipes e, principalmente, uma consultoria com empresa especialista em Gestão da Privacidade e Proteção de Dados, como a oPrivacy.
Afinal, a oPrivacy não é apenas uma consultoria de adequação à LGPD. É uma empresa com múltiplas soluções para tornar a privacidade e os dados pilares de sustentação do seu negócio.
Aqui a consultoria vai ajudar a projetar e executar todas as adequações dos processos internos necessárias para o cumprimento da norma ISO 27701. Terminado o processo de adequação, o último passo para implementar a ISO 27701 é contratar uma instituição avaliadora para certificar a empresa na norma em tela.
Leia também: DPO as a service: Descubra o que é e suas vantagens
Enfim, em uma realidade em que cada dia as pessoas estão mais preocupadas com a forma como suas informações são tratadas e que a segurança de dados tem se tornado um requisito para contratação e empresas, uma certificação como a ISO 27701 é essencial para se manter competitivo no mercado.
