Implementação ISO 27701: Adequando a LGPD

Share on linkedin
Share on twitter
Share on facebook

A implementação ISO 27701 o ajudará a gerenciar as informações de identificação pessoal (PII) em sua organização. 

É um novo padrão, projetado para uso por qualquer pessoa responsável por PII em qualquer tipo de organização.

O padrão mostra como projetar, configurar, gerenciar e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS). 

Oferece muita flexibilidade na forma como cria e executa o seu PIMS. 

A flexibilidade da ISO 27701 também o ajudará a seguir todas as regulamentações de PII locais relevantes no caso do Brasil, conformidade com a LGPD.

ISO 27701 baseia-se na ISO / IEC 27001 quer dizer, é uma extensão. Isso significa que você pode:

Obter a conformidade ou certificação ISO 27001 antes do processo de implementação ISO 27701.

Ou realizar a auditoria integrada de ambas.

A ISO 27701 surgiu em 6 de agosto de 2019. 

Como o padrão é tão novo, poucas organizações o adotaram. Se você optar pela certificação / implementação ISO 27701, estará à frente de várias empresas.

Quais são os benefícios da ISO 27701?

Quase todas as organizações mantêm informações de identificação pessoal (PII) detalhadas sobre pessoas individuais. 

Se houver vazamento de PII, pode ser muito prejudicial. Um sistema de gerenciamento de informações de privacidade (PIMS) compatível com ISO / IEC 27701 protegerá as PII existentes na sua empresa bem sejam internas ou de partes interessadas.

Isso o ajudará a evitar os resultados negativos de violações de PII, que podem incluir:

Multas que chegam a milhões de reais (de acordo com os regulamentos da LGPD).

Evitar situações marcantes e substanciais relacionados a danos na reputação da empresa.
Problemas de privacidade pessoal para quaisquer indivíduos comprometidos.

A obtenção da certificação ISO 22701 também pode ter muitos impactos positivos, incluindo:

Tornar mais fácil provar que a sua empresa leva a sério a segurança da informação.
Acelerando seu processo de vendas e abrindo novos mercados
Fortalecimento de relacionamentos com clientes e partes interessadas existentes

Qual a história da ISO 27701

ISO 27001 é o padrão de segurança mais popular do mundo, mas possui algumas lacunas. 

Em particular, não informa como configurar medidas de segurança de Informações de Identificação Pessoal (PII).

O Regulamento Geral de Proteção de Dados (GDPR) da UE colocou em foco a falta de orientações claras sobre PII da ISO 27001. 

O GDPR solicita medidas de segurança de PII, mas não fornece nenhuma orientação de implementação ou requisitos.

Assim, o trabalho começou no padrão que se tornaria ISO 27701. 

O novo padrão de gerenciamento de PII foi desenvolvido primeiro como ISO / IEC 27522. O trabalho técnico em ISO 27522 terminou em 2019, levando à publicação do novo padrão em 6 de agosto de 2019. Como descrito antes corresponde a uma extensão da ISO / IEC 27001.

Antes da publicação, ISO / IEC 27522 tornou-se ISO / IEC 27701. 

Isso porque qualquer padrão que descreve como criar um sistema de gestão deve terminar em 01, bom na maioria dos casos os sistemas de gestão certificáveis finalizam com o digito 1. ISO 27001, ISO 9001, ISO 20000-1 e agora ISO 27701.

Sobre o gerenciamento de informações privadas

A maioria das organizações precisa reter e processar informações sobre alguns ou todos os seus:

Essas pessoas dependem de sistemas de coleta de dados para manter essas informações privadas. 

O risco e o dano potencial de uma violação de informações de privacidade ou informações de identificação pessoal (PII) está aumentando rapidamente. Os problemas podem incluir:

Problemas de privacidade pessoal para quaisquer indivíduos comprometidos
Portanto, mais e mais organizações estão criando sistemas de gerenciamento de informações de privacidade (ou PIMS). 

Um PIMS eficaz, compatível com ISO 27701 ou certificado tem muitos benefícios potenciais. Pode:

Facilite a conformidade, tornando a segurança das informações de privacidade fácil de gerenciar e, possivelmente, atendendo a várias necessidades regulamentares de uma vez só.
Aumentar a confiança da gestão, do regulador e de outras partes interessadas, criando medidas de segurança transparentes e fáceis de demonstrar.
Atenda de forma rápida e fácil as necessidades de privacidade de seus clientes e outros parceiros comerciais.
Definir condições claras para compartilhar e monetizar os dados valiosos que sua organização construiu.
Enviar um sinal forte de construção de marca de que sua organização leva a segurança muito a sério.

O que são informações de identificação pessoal (PII)?

Informações de identificação pessoal (PII) são informações que revelam a identidade de alguém. 

PII revela identidades por conta própria ou em combinação com outros dados. 

Algumas categorias de PII são muito sensíveis. 

Por exemplo, você só pode reter e processar dados sobre condenações criminais e crimes em circunstâncias muito limitadas.

Para aumentar a segurança, você pode minimizar ou tornar anônima suas PII.

As definições da LGPD dessas duas maneiras de gerenciar seus dados pessoais são:

Para pseudonimizar dados pessoais, você precisa processá-los “de forma que os dados não possam mais ser atribuídos a uma pessoa específica sem o uso de informações adicionais”.
Para tornar anônimos os dados pessoais, você precisa certificar-se de processá-los “de forma que o titular dos dados não seja mais identificável”.

Em quaisquer circunstâncias Dados pseudonimizados ainda podem estar sujeitos a regulamentos e requisitos de PII. A maioria dos regimes regulatórios provavelmente não se aplica a dados anônimos.

A diferença entre dados pseudonimizados e anônimos pode ser bastante sutil e complexa. 

Isso pode variar em diferentes jurisdições. Você precisará verificar cuidadosamente para garantir que está aplicando todos os regulamentos relevantes às suas PII.

Detalhes de empresas, autoridades públicas ou outras organizações provavelmente também não são PII.

Software de gestão de auditorias
Conheça o sistema que vai acelerar a implementação ISO na sua empresa

O que é um Sistema de Gerenciamento de Informações Pessoais PIMS?

Um PIMS é um sistema de gerenciamento de informações pessoais que combina:

Políticas e procedimentos claramente definidos e amplamente compreendidos.

Tecnologia de gerenciamento de privacidade eficaz.

Pessoas bem treinadas.

Para proteger as informações de identificação pessoal (PII) que sua organização mantém e usa. 

Um PIMS eficaz irá tranquilizar as pessoas envolvidas na sua organização, Tais como: Colaboradores, clientes, contatos e outras partes interessadas.

De forma que a sua empresa evidencia que está gerenciando suas informações pessoais de forma segura e responsável.
Seu PIMS o ajudará a armazenar e compartilhar PII, tanto interna quanto externamente. 

O PIMS certo também tornará mais fácil para as pessoas atualizarem e corrigirem quaisquer dados que você tenha nelas.

Quais empresas podem implementar a ISO 27701

Para implementar a ISO 27701, sua organização precisa:

Processar e / ou gerenciar informações de identificação pessoal (PII).

Ter um sistema de gerenciamento de segurança da informação (ISMS) robusto, preferivelmente com certificação ISO 27001.
Não importa que tipo ou tamanho de organização você seja. Os requisitos da ISO 27701 são flexíveis para cobrir todos os tipos e tamanhos de organizações. 

Isso inclui (mas não está limitado a):

Empresas públicas e privadas.
Entidades governamentais.
Organizações sem fins lucrativos.

Como você começa a usar a ISO 27701?

Conheça a norma ISO 27701. 

Isso o ajudará a definir sua estratégia de gerenciamento de privacidade e planejar seu PIMS. 

Em seguida, construa seu PIMS, criando seus sistemas e controles táticos. 

Em seguida, implemente seu PIMS, certificando-se de seguir todos os requisitos da ISO 27701.

Você estará pronto para sua auditoria assim que a certificação ISO 27701 completa se tornar possível. 

No momento, o padrão é tão novo que quase nenhum organismo certificador no Brasil está credenciado para certificá-lo.

O que você precisa para obter a certificação ISO / IEC 27701: 2019?

Esteja preparado através da consultoria ou implementação interna na sua empresa.

Recomendamos alcançar a conformidade com a ISO 27001, para que você esteja pronto para a certificação. 

Agora em 2021 mais organismos certificadores estão obtendo o credenciamento, tornando cada vez mais possível a certificação na norma ISO 27701.

A ISO 27701 pressupõe que você já atingiu a conformidade ou certificação ISO 27001.
Isso significa que você já têm um sistema de gerenciamento de segurança da informação (ISMS). 

Você pode configurar seu ISMS antes ou junto com a implementação da ISO 27701.

Boas práticas na ISO 27701

Quando você busca a certificação ISO 27701, seus auditores irão avaliar seu PIMS por meio de:

Leitura da documentação do seu PIMS.
Entrevistar seu pessoal para ter certeza de que eles entendem e usam o sistema de gestão.
Realizando testes para ver se funciona bem na prática.

Para mostrar boas práticas ISO 27701, você precisará:

Documentação abrangente do PIMS.
Equipe bem treinada.
Políticas e procedimentos amplamente compreendidos e seguidos.

error: Content is protected !!
Falar com consultor
Quer tirar dúvidas?