Proteção de Dados: o que é e quando entrará em vigor?
Temas relacionados a proteção de dados pessoais estão super em alta no Brasil devido a LGPD (Lei geral de Proteção de dados). A lei já está em vigor desde setembro de 2020, todavia, os artigos relacionados às sanções administrativas, que poderão ser aplicadas pela Autoridade Nacional de Proteção de dados (ANPD), entrarão em vigor agosto deste ano.
Mas antes disso, o tema da proteção de dados já era discutido internacionalmente há anos, e em 2018 entrou em vigor a GDPR, lei que visa proteger a privacidade dos dados pessoais de cidadão e residentes europeus. Sendo esta lei aplicável, não só a empresas as empresas europeias, mas também empresas estrangeiras que fazem o tratamento de dados de cidadãos e residentes europeus.
A Lei brasileira de Proteção de dados foi inspirada na lei europeia, e assim como esta, requer uma séria de adequações, adoção de práticas e medidas para garantir o correto tratamento de dados pessoais prezando pela privacidade do titular. Essa legislação é aplicável a qualquer empresa que faz o tratamento de dados pessoais de qualquer origem, como dados de clientes, funcionários, fornecedores etc.
A grande questão é que nenhuma destas leis proveem muita orientação de quais adequações devem ser consideradas ou implementadas e quais controles devem ser aplicados para garantir a segurança na privacidade de dados. É aí que norma ISO 27001 entra em cena.
O que é a ISO 27001?
A norma ISO 27001 é uma norma internacional de gestão de segurança da informação, mundialmente reconhecida, que oferece às empresas uma referência e as melhores práticas para identificar, analisar e implementar controles para gerenciar riscos de segurança da informação e proteger a confidencialidade, integridade e disponibilidade de dados essenciais aos negócios.
Como a própria norma define, faz parte do seu escopo prover requisitos para estabelecer, implementar, manter e melhorar, continuamente, um sistema de segurança da informação por meio da aplicação de um processo de gestão de riscos e fornecer às partes interessadas confiança de que os riscos de segurança da informação são adequadamente gerenciados.
[Post] ISO 27001: Confira empresas que precisam da ISO 27001
E levando em consideração que os dados pessoais são um tipo de informação, ao passo que empresa faz a implementação da ISO 27001, ela já está fazendo a adequação a requisitos e controles que visam garantir a proteção deste de tipo de informação, o dado pessoal.
Todavia, como o dado pessoal é um tipo especial de informação, para garantir plenamente a segurança no tratamento desse tipo de informação, novos controles e requisitos precisariam ser integrados.
Mas afinal, qual é a relação da ISO 27001 com a ISO 27701?
E, com base nessa necessidade surgiu a ISO 27701, que foi criada na verdade como uma extensão da ISO 27001, todavia, trazendo requisitos e controles específicos para assegurar a privacidade no tratamento de dados pessoais.
E chamamos de extensão, pois não é possível certificar na ISO 27701 somente, mas sim depois ou em conjunto com a certificação ISO 27001.
Por isso a própria norma orienta quais requisitos normativos possuem requisitos ou diretrizes adicionais relacionados a privacidade se comparado a ISO 27001, que devem ser implementados para garantir a privacidade de dados pessoais.
A ISO 27701, assim como a ISO 27001, é uma norma certificável, ou seja, após a implementação a empresa estará apta a receber a auditoria de um organismo acreditado e independente que atestará a conformidade da empresa em relação a estas normas implementadas. A Certificação ISO 27001 traz uma confiança para empresa em relação a forma como está protegendo suas informações e garantindo a privacidade de dados, mas também, uma confiança paras os stakeholder de que a diretrizes utilizadas para esse fim são de uma norma reconhecida e com a credibilidade internacional. Além do próprio certificado ser uma evidência prática e muito mais consistente que poderá ser utilizado como evidência a clientes e parceiro de negócios para atestar a segurança da informação e privacidades dos dados pessoais.
