A norma ISO 27701 especifica os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão de privacidade da informação (SGPI).
Assim como as demais normas da família 27000, em especial 27001 e 27002, a ISO 27701 apresenta requisitos relacionados ao SGPI (Sistema de Gestão da Privacidade da Informação) e também diretrizes para os controladores e operadores de dados pessoais, atores com grandes responsabilidades nas atividades de tratamento.
O que é a ISO 27701?
O ISO.org diz que a ISO27701 “especifica requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO / IEC 27001 e ISO / IEC 27002 para gerenciamento de privacidade no contexto da organização.” …
“especifica os requisitos relacionados ao PIMS e fornece orientações para controladores de PII e processadores de PII responsáveis e responsáveis pelo processamento de PII.” …
“é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de PII e / ou processadores de PII que processam PII dentro de um ISMS.”
De outra forma, a ISO 27701 especifica os requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente – um PIMS (privacy information management system) com base nos requisitos, objetivos e controles de controle na norma de gerenciamento de segurança da informação ISO 27001, e estendido por um conjunto de requisitos específicos da privacidade, objetivos e controles de controle.
A ISO 27001 estabelece os requisitos para um SGSI (sistema de gerenciamento de segurança da informação, do inglês ISMS), uma abordagem baseada em riscos que abrange pessoas, processos e tecnologia. A certificação credenciada de forma independente para a ISO 27001 fornece às partes interessadas a garantia de que os dados estão sendo adequadamente protegidos.
Diante de possibilidade multas regulatórias, uma avalanche de questionários de due diligence e cláusulas contratuais rigorosas, empresas de todos os tamanhos e atividades serão impactadas pela LGPD. Portanto, a ISO 27701 terá um papel de extrema importância nesse cenário, basicamente por dois fatores:
1 – Protocolo de adequação da LGPD
Com a ISO 27701 a organização irá implementar o passo a passo de um protocolo internacionalmente reconhecido, o que irá facilitar a implementação dos controles de proteção de dados e adequação também das regulações internacionais;
2 – Reconhecimento externo sobre a adequação a LGPD
Com a ISO 27701 a organização irá poderá demonstrar as partes interessadas, como clientes e reguladores, que implementou e mantém ativo os controles de segurança de dados pessoais, o que irá permitir automático reconhecimento por essas partes;
A estrutura da ISO 27701 determina o atendimento dos 114 controles no Anexo A da ISO 27001 que as empresas geralmente implementam como parte do alinhamento à estrutura, além dos controles específicos de segurança da informação privada, estendendo os requisitos da ISO 27001 para levar em consideração a proteção da privacidade de indivíduos cujas PII são detidas por uma empresa que busca certificação. Como a ISO 27701 é uma extensão da norma ISO 27001, as certificações ISO 27701 não serão emitidas de forma independente. Uma empresa que obtém uma certificação sob a ISO 27001 pode incluir a ISO 27701 dentro do escopo de sua certificação, se implementar as diretrizes sob a ISO 27701.
Como obter a certificação ISO 27701?
Cabe ressaltar que a empresa primeiramente precisa obter a certificação na ISO 27001 – Sistemas de gestão de segurança da informação e em seguida fazer uma extensão para ISO 27701 – Sistemas de Gestão de Segurança Privada. Isso ocorre porque a ISO 27701 é uma norma de extensão e está diretamente relacionada a ISO 27001 como um complemento para requisitos relacionados a privacidade de dados e consequentemente adequação as regulações internacionais.
Deste modo, a ISO 27701 tem como objetivo contribuir para que empresas demonstrem a agências, órgãos públicos, investidores e sociedade que a organização está empenhada em adotar controles eficazes e que são considerados melhores práticas internacionais em proteção de dados.
A implementação das normas ISO 27701 e ISO 27001 permitirá que você atenda aos requisitos de privacidade e segurança da informação do GDPR, LGPD e de outros regimes de proteção de dados e demonstre que possui acordos de gerenciamento para “medidas técnicas e organizacionais apropriadas” para proteger os dados pessoais que você processa e defender os direitos dos titulares dos dados, em conformidade com o princípio da responsabilidade do regulamento (artigo 5.º, n.º 2).
Os artigos da GDPR e LGPD que discutem mecanismos de certificação de proteção de dados e selos e marcas de proteção de dados. Ainda não existem tais mecanismos. No entanto, é possível obter certificação credenciada de forma independente para a ISO 27001 – e, por extensão, ISO 27701 se você implementar seus controles – o que demonstrará às partes interessadas e reguladores que sua organização está seguindo as melhores práticas internacionais quando se trata de proteger dados pessoais / PII.
Implementar a LGPD não é uma tarefa simples e por isso deve ter bons profissionais para ajudar a executa-la dentro da empresa.
Veja como a Vantix ajuda na aceleração da adequação à LGPD com um mapeamento de dados completo:
Com a lei mais perto de entrar em vigor, é necessário que as empresas procurem entender mais sobre o assunto e contratar empresas especializadas para adequar e ajudar na automatização do processo de proteção de dados.
Saiba como a Vantix utiliza Inteligência Artificial aliada a Privacy Ops para aumentar a segurança de dados na sua empresa, acelerando a adequação à LGPD. Faça o download nosso e-book e solicite uma demonstração ao vivo:
Deixe um comentário