ISO 27701: qual seu papel para adequar empresas à LGPD?
Extensão da ISO 27001, a ISO 27701 tem como foco aprimorar os sistemas dedicados à segurança da informação, ajudando empresas a se adequarem à LGPD.
Publicada em agosto de 2019, a ISO 27701 é uma extensão da ISO 27001.
Para as empresas, a norma publicada chega para ser uma ferramenta que pode auxiliar e muito a adequação das empresas às novas normas da Lei Geral de Proteção de Dados (LGPD).
Para a empresa requerer a ISO 27701, precisa previamente ser contemplada com a ISO 27001. No texto a seguir, falaremos um pouco sobre a importância dessa norma na adequação da empresa a esse cenário de segurança da informação.
ISO 27701 e adequação à LGPD
Dedicada a estabelecer o controle e a privacidade das informações dentro de uma organização, a ISO 27701 é um padrão de regulamentação internacional que fornece diretrizes para implementar, manter e melhorar um sistema de controle e gerenciamento de informações.
Mas qual a importância da ISO 27701 nesse cenário de adaptação das empresas? Vamos definir em dois pontos:
1. Protocolo de Adequação
Seguindo a ISO 27701, a empresa pode protocolar um passo a passo de como criou um organismo de controle e proteção dos dados. Tudo isso seguindo à risca as normas e requisições internacionais.
2. Reconhecimento Externo
Além de gerar segurança e bem-estar dentro da organização, ao proteger a movimentação dos principais dados e ativos da empresa, a implantação de normas de segurança também ecoa na comunidade e no mercado.
Assim é possível demonstrar às partes interessadas no processo, tanto clientes como órgãos reguladores, que a empresa segue protocolos e normas aceitos a nível internacional.
A ISO 27701 estabelece critérios e fornece ferramentas para a empresa formar um sistema de gerenciamento e privacidade da informação, em uma abordagem que abrange tecnologia, processos e pessoas.
Organizações que implementaram a ISO 27001 poderão usar a ISO 27701 para estender seus esforços de segurança no gerenciamento de privacidade, o que ajudará a demonstrar conformidade com as leis de proteção de dados, como a LGPD.
E uma vez que ISO 27701 expande os requisitos e orientações fornecidos pela ISO 27001, é possível às empresas colocarem em prática as duas normas juntas, como um único projeto de implementação.
LGPD X COVID-19
Por conta da pandemia provocada pelo novo coronavírus, o Congresso Nacional aprovou o Projeto de Lei 1.179 de 2020 com mudanças, entre elas, a postergação do início da vigência da LGPD para 1º de maio de 2021 – e com aplicação de multas para agosto do mesmo ano.
Tal alteração gerou críticas entre os especialistas em segurança da informação. Segundo a Agência Brasil, a Coalizão Direitos na Rede, que reúne entidades de defesa dos direitos dos usuários e de pesquisa em temas relacionados à Internet, não aprovou a medida. “O novo adiamento em meio à pandemia de COVID-19 perpetua o quadro de vulnerabilidade dos dados pessoais e do direito à privacidade da população brasileira, uma vez que iniciativas pouco transparentes, sejam do poder público ou privado, surgem a cada semana com a justificativa de combater o novo coronavírus”, divulgou a instituição, em nota.
Para Bruna Santos, da organização Coding Rights, integrante da Coalizão, a decisão não foi acertada. “A medida concretiza o cenário de desproteção dos indivíduos – fato que se torna ainda mais preocupante com algumas medidas endereçadas à pandemia e que promovem uma coleta massiva e desproporcional de dados pessoais como a MP do IBGE.”, ressaltou em uma referência à MP que previa o repasse de dados de operadoras de telefonia ao Instituto Brasileiro de Geografia e Estatística com argumento de auxílio no combate à pandemia – ela foi suspensa pela ministra do Supremo Tribunal Federal Rosa Weber.
LGPD e a Segurança da Informação
A implementação das normas ISO 27701 e ISO 27001 permitirá que as empresas atendam aos requisitos de privacidade e segurança da informação da LGPD, demonstrando adotar medidas apropriadas para proteger os dados pessoais que processa, bem como garantir os direitos dos titulares dos dados.
Criada na esteira de normas internacionais, e com o objetivo de colocar o Brasil em uma posição de vanguarda no que diz respeito ao controle e segurança de dados na América Latina, a Lei Geral de Proteção de Dados estabelece regras e diretrizes para a coleta, controle, tratamento e compartilhamento de dados na esfera virtual.
Para cuidar de dados pessoais e ativos que estão na rede, a LGPD recomenda às organizações que ofertam bens e serviços para cidadãos brasileiros e que mantêm atividades em território nacional que sigam rigorosamente os novos requisitos.
Para facilitar esse período de adaptação – e realizar a transição da forma mais rápida possível -, a IBLISS divide esse processo de adequação em etapas.
- A primeira parte tem a ver com compliance, sendo uma fase dedicada à adequação e adaptação de colaboradores, revisão de processos internos e definição de estratégia.
- Após essa etapa, vem a transformação cultural. É preciso conscientizar colaboradores, investir em tecnologia e mão de obra, mapear os fluxos de dados e começar a trabalhar em prol dos resultados – saiba mais sobre as etapas necessárias para que sua empresa atenda as determinações da lei aqui!
A hora de se adequar é agora!
Sendo direcionada à proteção de dados pessoais de pessoais naturais, a LGPD vem para contribuir com a elevação de maturidade de todos que tratam esses tipos de dados e, além disso, garantirá a continuidade de relações entre o Brasil e os países que já possuem suas leis de proteção de dados – aliás, essa foi umas das razões principais para a lei ser aprovada.
Mas há mais motivos para a adequação à lei: suas exigências estreitam caminho para o progresso econômico, social, tecnológico e de inovação.
Após diversos adiamentos foi definida uma nova vigência, entretanto, mesmo com esse cenário observamos que este é o momento ideal para investir na adequação, em virtude dos vários benefícios associados.
Por exemplo, a análise de Gap é o primeiro passo no processo de adequação pois permite tirar uma fotografia da maturidade atual em relação à segurança da informação e o tratamento de dados, oferecendo clareza do que é o preciso ser feito, como será feito e qual o investimento necessário.
Essa ampla visão não servirá apenas para atender à Lei Geral de Proteção de Dados, mas para outras normativas as quais seu negócio necessita estar adequado – para ter mais informações, consulte nosso ebook Prepare sua empresa para a Lei Geral de Proteção de Dados.
A ISO 27701 e demais normas desta família de certificação ajudam sua empresa a estar em conformidade com a LGPD. Mesmo assim, a adequação é uma tarefa que exige apoio de profissionais experientes.Se você tem dúvidas de como e por onde começar, nós da IBLISS DIGITAL SECURITY temos um serviço de Análise de Gap da LGPD que te ajuda a mapear onde estão os dados pessoais em seus processos de negócio, identificando melhorias para garantir a sua proteção.