Neste artigo vou falar de uma nova norma, a ISO 27701 que acaba por ser uma extensão da norma ISO 27001 para a Gestão da privacidade. Diria aliás que esta última é uma espécie de “norma mãe” da ISO 27701, cuja adoção vem facilitar a conformidade do RGPD.
Por Aurélio Maia, Consulting Service Director da INTEGRITY
Já muito se escreveu e falou acerca do Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE): primeiro sobre os passos essenciais para a sua implementação e, mais tarde, sobre o seu impacto e desafios nos processos de negócio.
O dia 25 de maio de 2018 ficou assinalado, pois foi a partir desse dia que as empresas foram obrigadas a demonstrar que tomaram as medidas apropriadas para garantir a conformidade com o RGPD. E, ao falar desta conformidade, é impossível não referir a norma ISO 27001, já que as organizações que seguiram os seus standards puderam usá-los como base para atingirem os requisitos de proteção de dados daquele regulamento.
E neste artigo vou falar de uma nova norma, a ISO 27701 que acaba por ser uma extensão da norma ISO 27001 para a Gestão da privacidade. Diria aliás que esta última é uma espécie de “norma mãe” da ISO 27701, cuja adoção vem facilitar a conformidade do RGPD.
Antes de mais, há que referir que a ISO 27701 difere ligeiramente das restantes normas ISO, porque requer um sistema de gestão ISO 27001 existente para se anexar. A ISO 27701 é mais específica, sendo importante realçar que inclui mapeamentos que precisam de ser interpretados, de forma a levar em consideração as leis e os regulamentos legais.
Esta nova norma considera os novos papeis introduzidos pelo RGPD, Controllers e Processors, e aplica-se a ambos. Quanto às alterações introduzidas, gostava de mencionar que a organização deve determinar o seu papel como Controller e/ou Processor, devendo também incluir, entre as suas partes interessadas, as partes que tenham interesses ou responsabilidades associadas ao tratamento de dados pessoais, incluindo os princípios de privacidade. Outro aspeto importante a mencionar é que a organização deve aplicar o processo de avaliação de riscos para identificar riscos relacionados com o tratamento de dados pessoais. Quanto às políticas, estas devem ser atualizadas para incluir um compromisso de cumprir com os regulamentos relevantes de dados pessoais e com acordos contratuais com clientes e terceiros e há que considerar especificamente dados pessoais em sistemas de classificação de informação.
Relativamente aos requisitos principais aplicáveis aos Controllers e aos Processors, a ISO 27701 determina alguns, como por exemplo a manutenção de um registo de todas as atividades de tratamento de dados pessoais (incluindo transferências de dados pessoais entre jurisdições e divulgações a terceiros) e a formação das pessoas envolvidas através de uma ação de conscientização sobre privacidade para os colaboradores que têm acesso a dados pessoais. Em relação aos requisitos específicos para os Controllers, queria chamar a atenção para o facto das organizações terem de ter um contrato por escrito em vigor com os seus Processors que tratem de itens específicos, como proteção de dados pessoais, limitar o tratamento para a finalidade específica para a qual os dados pessoais foram recolhidos e fornecer notificações para violações de dados pessoais.
Posto isto, surge a questão “De que forma se interliga com o RGPD esta norma?”
O RGPD, irá promover esquemas de certificação que têm como objetivo aumentar a transparência e a conformidade com o regulamento e permitir que se compreenda facilmente o nível de conformidade que uma organização atingiu. Menciona também que a certificação deve ser emitida por organismos de certificação reconhecidos pela União Europeia e/ou pelas autoridades de supervisão de cada País.
Há na verdade muitas razões pelas quais a ISO, com a utilização da sua norma ISO 27701, pode estar na linha da frente para ser um dos Organismos de certificação, nomeadamente por ser um standard reconhecido a nível internacional, ser uma extensão de um standard de segurança da informação já amplamente utilizado e maduro e, por fim, por possibilitar que as organizações possam ser certificadas de acordo com o standard por auditores devidamente reconhecidos.
Quanto aos benefícios são inúmeros, mas assinalaria os quatro mais relevantes: primeiro, o facto das organizações que adotem a ISO 27701 criarem evidências documentais de como lidam com o tratamento de dados pessoais (e que podem ser usadas para demonstrar conformidade com leis e regulamentos relacionados); segundo, esta norma facilitar acordos com parceiros de negócios onde o tratamento de dados pessoais é relevante; terceiro, a proteção da reputação da organização e reafirmação aos clientes / titulares de dados que os seus dados pessoais estão efetivamente a ser geridos de forma adequada e responsável e quarto, sendo este ponto muitíssimo importante, a demonstração da eficácia dos processos para identificar, priorizar e gerir riscos de privacidade ao longo de toda a cadeia de processamento de dados pessoais.
Ao participar como profissional de consultoria na “Comissão Técnica 163 – Segurança da Informação” realço a necessidade de um papel ativo na consciencialização desta norma e, neste sentido, destaco o lançamento do portal informativo www.ISO27701.pt para esse mesmo efeito.
Em suma, qualquer organização que pretenda ter o caminho facilitado para a demonstração de conformidade com o RGPD poderá usar a via de certificação, cujo objetivo não é mais do que aumentar a transparência e a conformidade, sendo o único requisito necessário a certificação da 27001.
Excelente artigo que indicia de forma certeira a tendência de crescente integração entre a segurança da informação, a privacidade e a cibersegurança. É uma realidade que, como o autor muito bem repara, está a ser promovida a nível regulatório e de boas práticas e que levará as Organizações a repensar sobre as suas estratégias e processos de segurança.