A ISO 27701 e sua relação com a LGPD

Share on linkedin
Share on twitter
Share on facebook

A ISO 27701: 2019 é um padrão normativo internacional. Que especifica e orienta os requisitos para estabelecer, implementar, manter e melhorar continuamente o sistema de gestão da privacidade da informação (SGPI).

As informações pessoais da empresa e de seus clientes no contexto de todos os tipos de organizações independentemente de seu porte e natureza. Públicas, privadas ou sem fins lucrativos, a norma busca ajudar a cumprir as normas de privacidade em todo o mundo.

Este regulamento fornece uma estrutura de sistema de gestão para proteger as informações de identificação pessoal (PII) dentro do SGPI.
As normas ISO 27701 foram publicadas em agosto de 2019 como uma extensão das normas ISO 27001. Reunindo sua estrutura e os requisitos essenciais do General Data Protection Regulation (GDPR).

Uma vez que visa não só proteger os dados em geral. 

Mas também salvaguardar o direitos dos usuários, é também uma extensão do guia de boas práticas ISO 27002. Serve para cumprir a lei sobre a proteção de dados privados, facilitando as empresas, o estabelecimento dessas normas e garantindo a confidencialidade, integridade e disponibilidade do em formação.

Esta lei inclui requisitos e diretrizes para organizações que atuam como responsáveis e encarregadas do tratamento de informações de identificação pessoal.

Fornece um excelente ponto de partida para atingir os requisitos técnicos e operacionais necessários para reduzir o risco de uma infração e também controla a existência de mecanismos para notificação de violações de privacidade.

Os governos de alguns países estão tomando medidas para proteger os dados pessoais dos usuários da internet por meio de leis que buscam proteger a privacidade e o Brasil não foge desse movimento.

Segue o mapeamento de compartilhamento de dados de uma estrutura de sistemas informáticos em uma empresa padrão. A partir dele podem ser feitas escolhas para adequar os mesmos a legislação.

Software de gestão de auditorias
Conheça o sistema que vai acelerar a implementação ISO na sua empresa

Tabela de conteúdo

Relação entre a ISO 27701 e a lei geral de proteção de dados

A lei geral sobre proteção de dados pessoais não é uma lei que será implementada apenas no Brasil. 

Já existem países na Europa onde esta lei (embora para eles seja um regulamento) está em compliance através do certificado ISO 27701. 

Reconhecendo aos países que esta norma foi implementada, e aumentando a confiança dos clientes e dos próprios funcionários.

No sentido de que a empresa trata a informação de forma eficaz, melhora a concorrência interna e os processos que estabelece para evitar infrações. 

Também facilita os acordos que podem ser celebrados com parceiros de negócios. Tornando o tratamento das informações pessoais mutuamente relevantes, dando lugar à participação do usuário para que possa exercer seus direitos sobre as informações por ele prestadas.

A ISO 27701 é uma ferramenta perfeita para implementar a lei geral de proteção de dados. 

Funciona para entidades para credenciar a conformidade de terceiros com a proteção de dados, que deve ser aplicada após a implementação da ISO 27001. 

Estas normas podem ser implementadas juntas em um único projeto.
O relacionamento deles se destaca pelo objetivo, que é zelar pela privacidade das informações pessoais, pela transparência na gestão da informação prestada pelas pessoas e pela organização.

Também pelo controle das atividades desenvolvidas dentro e fora da empresa em matéria de informação pessoal, garantir a segurança dos dados, entregar qualidade no tratamento destes, melhoria constante nos processos de tratamento da informação.
A implementação da ISO 27701 é a melhor forma de se adaptar às novas mudanças que se avizinham.

 Para alcançá-la é necessário obter orientação quanto à conformidade das normas. Primeiro deve ser implementado um sistema de gestão eficaz que atenda aos requisitos dos padrões normativos.

Na Smart Quality estamos preparados para orientá-lo nos processos de implementação.

Por que é tão importante a LGPD e ISO 27701 na Gestão da Privacidade dos Dados

As pessoas estão preocupadas com a forma como suas informações pessoais foram tratadas. 

 

Temendo que as empresas as compartilhem com terceiros, onde os usuários possam ser afetados por essa transferência de informações. Inspirado no GDPR, em meados de agosto de 2018. 

O Brasil aprovou um novo marco legal que visa regulamentar o uso e o processamento de dados pessoais no Brasil: a Lei Geral de Proteção de Dados.
A lei substitui 40 ou mais leis que atualmente tratam da proteção da privacidade e dos dados pessoais e tem como foco a garantia dos direitos individuais e a promoção do crescimento econômico por meio da criação de regras claras e transparentes para a coleta de dados.

Assim como o GDPR, a lei brasileira terá aplicação extraterritorial. 

Portanto, se sua organização oferece seus serviços no Brasil por meio da coleta e processamento de dados pessoais de pessoas localizadas no país, você deve cumprir os requisitos independentemente da nacionalidade do titulares de dados.

Sendo que uma empresa espanhola que processa os dados de um espanhol no Brasil ainda terá que se adequar. 

Influencia a forma como as empresas têm tratado os dados pessoais das pessoas até agora. 

Fazendo com que as empresas que não dispõem das orientações adequadas para esta nova lei sejam obrigadas a efetuar as alterações necessárias.

A ISO 27701 é uma norma que pode ajudar as empresas a cumprir estas novas orientações que foram decretadas na lei geral de proteção de dados pessoais, tornando-a mais competitiva no mercado. 

Demonstrando assim que as empresas que implementam um sistema de Gestão da Privacidade dos Dados, estão empenhadas no tratamento correto das informações das pessoas.

Também os ajuda a melhorar a gestão da informação e proporciona transparência às empresas e, por isso, as pessoas confiam mais nelas.
Você pode aprender mais sobre a LGPD no nosso artigo: Lei geral de proteção de dados

Facilitando a implementação ISO 27701 e adequação com a LGPD

Cada norma têm o seu processo de implementação.

Normas de tecnologia acostumam ter processos rígidos para manter um sistema de gestão.

Na implementação você pode encontrar as etapas de:

 

Na ISO 27701 de Gestão de Privacidade dos Dados, não é diferente. Nos investimos muito em tecnologia para facilitar a sua implementação. Veja os seguintes tópicos:

 

Gestão ágil na implementação ISO 27701

Veja o exemplo, na plataforma da Smart Quality nos escolhemos que vamos realizar a implementação ISO 27001 junto com a sua extensão para o sistema de Gestão da Privacidade dos Dados ISO 27701.

Implementação ISO 27001

Uma vez cadastradas as normas, teremos acesso a visão Kanban da nossa implementação.

Para a sua facilidade e também a do auditor, o sistema já têm pré-carregado os requisitos das normas assim como a informação documentada que deverá ser gerada. 

Você precisará apenas implementar de forma ágil, você têm os status Novo, em Andamento, revisão e implementado.

Você encontra no software de auditorias da Smart Quality, desde os requisitos da norma em questão até a informação documentada que você precisa gerar de forma bem organizada e intuitiva.

Na plataforma na realidade você encontra tudo para que a sua implementação e consequentemente a certificação, deem certo.

implementação ISO

Tirando dúvidas de implementação

Durante e depois da implementação ISO 27701, é fundamental a disposição dos consultores.

Por isso nos fornecemos a agenda do auditor para melhorar a comunicação, planejamento e disponibilidade das partes envolvidas.

Você consegue agendar as dúvidas que tanto  atrapalham durante a implementação dentro da plataforma.

implementação ISO 27001 agenda

Sobre a implementação ISO 27701 usando o software de Smart Quality

São muitas as facilidades que o sistema de auditorias oferece na implementação de normas ISO para a sua empresa.

Porém não é o escopo deste artigo, veja mais do software de auditorias clicando aqui.

De forma bem resumida você pode:

Desde visão Kanban dos requisitos das normas para gerenciar a sua implementação.
Agendamento de auditorias.
Aumentar o time de auditores na sua empresa.
Convidar mais colaboradores e auditores no seu time de implementação, tudo pela ferramenta.
Agendar bate papo para tirar dúvidas.
Procurar por auditores cadastrados na plataforma.

Entre outras capacidades que o sistema de auditoria oferece.
Você consegue fazer muito com a versão free do software, por isso recomendamos você a começar usar

Terá um antes e um depois após você conhecer a ferramenta, garantido.

Como eu faço para utilizar o software na minha implementação ISO 27701?

Você pode clicar na imagem abaixo e se cadastrar no Sistema.

Não se preocupe, o sistema é intuitivo e auto explicativo. Com um par de minutos você já estará mestre em implementação ISO 27701 com o sistema da Smart Quality!

Relação/Mapeamento com a LGPD

Artigo 50º, §1º , Artigo 5 VI, VII e IX: Titular, controlador e operador das DP.

LGPDISO 27701
Artigo 50º, §1º , Artigo 5 VI, VII e IX: Titular, controlador e operador das DP.5.2.1 Entendendo a organização e seu contexto
 Artigo 50º 5.2.2 Entendendo as necessidades e as expectativas das partes interessadas
Artigo 50º §1º5.2.3 Determinando o escopo do sistema de gestão da segurança da informação
Artigo 50º §2º I: Implementação de programa de governança em privacidade5.2.4 Sistema de gestão da segurança da informação
Artigo 38º, Artigo 50º §1º: Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.5.4.1.2 Avaliação de riscos de segurança da informação
Artigo 38º, Artigo 50º §1º5.4.1.3 Tratamento dos riscos de segurança da informação
Artigo 38º: A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.6.2.1.1 Políticas para segurança da informação
Artigo 41º: O controlador deverá indicar encarregado pelo tratamento de dados pessoais6.3.1.1 Responsabilidades e papéis da segurança da informação
Art. 6o., VII, Art. 46., Art. 47., Art. 496.3.2.1 Política para o uso de dispositivo móvel
Artigo 50º Caput6.4.2.2 Conscientização, educação e treinamento em segurança da informação
Art. 5 X, Art. 6o., VII, Art. 46., Art. 47., Art. 496.5.2.1 Classifcação da informação
Art. 5 X, Art. 6o., VII, Art. 46., Art. 47., Art. 496.5.2.2 Rótulos e tratamento da informação
Art. 5 X, Art. 6o., VII, Art. 46., Art. 47., Art. 496.5.3.1 Gerenciamento de mídias removíveis
Art. 5 X, Art. 6o., VII, Art. 46., Art. 47., Art. 496.5.3.2 Descarte de mídias
Art. 5 X, Art. 6o., VII, Art. 46., Art. 47., Art. 496.5.3.3 Transferência física de mídias
Artigo 46: Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.6.6.2.1 Registro e cancelamento de usuário
Artigos 46 e 496.6.2.2 Provisionamento para acesso de usuário
Artigos 46 e 496.6.4.2 Procedimentos seguros de entrada no sistema (log-on)
A lista ainda continua

Dúvidas frequentes

Precisa sim, para obter a certificação ISO 27701 o organismo certificador deverá exigir uma certificação ISO 27001 vigente.
Os organismos credenciadores tratam a ISO 27701 como uma extensão da 27001.

Não, é recomendável sim mas para você ter a Gestão de Dados Pessoais da sua empresa em dia (em conformidade com a LGPD), não precisa implementar a ISO 27001 também, apenas a ISO 27701.

Não é suficiente. Na ISO 27001 você gerencia o Sistema de Segurança da Informação. Aqui na ISO 27701 refere-se mais a Dados Pessoais conforme a LGPD.

Sim, já está em compliance. De fato a versão ABNT da ISO 27701 têm até uma relação dos itens da LGPD vs a ISO 27701.

A ISO 27701 foi desenvolvida para a  GDPR que é bem mais robusta que a LGPD.
Por tanto se você implementar a ISO 27701 entra em compliance com a GDPR e a LGPD. O que não dá para afirmar é o contrário, que você implementando a LGPD vai poder fornecer serviços para outros países que precisem do compliance GDPR.

error: Content is protected !!
Falar com consultor
Quer tirar dúvidas?