Neste artigo vou falar de uma nova norma, a ISO 27701 que acaba por ser uma extensão da norma ISO 27001 para a Gestão da privacidade. Diria aliás que esta última é uma espécie de “norma mãe” da ISO 27701, cuja adoção vem facilitar a conformidade do RGPD.
Por Aurélio Maia, Consulting Service Director da INTEGRITY
Antes de mais, há que referir que a ISO 27701 difere ligeiramente das restantes normas ISO, porque requer um sistema de gestão ISO 27001 existente para se anexar. A ISO 27701 é mais específica, sendo importante realçar que inclui mapeamentos que precisam de ser interpretados, de forma a levar em consideração as leis e os regulamentos legais.
Esta nova norma considera os novos papeis introduzidos pelo RGPD, Controllers e Processors, e aplica-se a ambos. Quanto às alterações introduzidas, gostava de mencionar que a organização deve determinar o seu papel como Controller e/ou Processor, devendo também incluir, entre as suas partes interessadas, as partes que tenham interesses ou responsabilidades associadas ao tratamento de dados pessoais, incluindo os princípios de privacidade. Outro aspeto importante a mencionar é que a organização deve aplicar o processo de avaliação de riscos para identificar riscos relacionados com o tratamento de dados pessoais. Quanto às políticas, estas devem ser atualizadas para incluir um compromisso de cumprir com os regulamentos relevantes de dados pessoais e com acordos contratuais com clientes e terceiros e há que considerar especificamente dados pessoais em sistemas de classificação de informação.
Relativamente aos requisitos principais aplicáveis aos Controllers e aos Processors, a ISO 27701 determina alguns, como por exemplo a manutenção de um registo de todas as atividades de tratamento de dados pessoais (incluindo transferências de dados pessoais entre jurisdições e divulgações a terceiros) e a formação das pessoas envolvidas através de uma ação de conscientização sobre privacidade para os colaboradores que têm acesso a dados pessoais. Em relação aos requisitos específicos para os Controllers, queria chamar a atenção para o facto das organizações terem de ter um contrato por escrito em vigor com os seus Processors que tratem de itens específicos, como proteção de dados pessoais, limitar o tratamento para a finalidade específica para a qual os dados pessoais foram recolhidos e fornecer notificações para violações de dados pessoais.
Posto isto, surge a questão “De que forma se interliga com o RGPD esta norma?”
O RGPD, irá promover esquemas de certificação que têm como objetivo aumentar a transparência e a conformidade com o regulamento e permitir que se compreenda facilmente o nível de conformidade que uma organização atingiu. Menciona também que a certificação deve ser emitida por organismos de certificação reconhecidos pela União Europeia e/ou pelas autoridades de supervisão de cada País.
Há na verdade muitas razões pelas quais a ISO, com a utilização da sua norma ISO 27701, pode estar na linha da frente para ser um dos Organismos de certificação, nomeadamente por ser um standard reconhecido a nível internacional, ser uma extensão de um standard de segurança da informação já amplamente utilizado e maduro e, por fim, por possibilitar que as organizações possam ser certificadas de acordo com o standard por auditores devidamente reconhecidos.
Quanto aos benefícios são inúmeros, mas assinalaria os quatro mais relevantes: primeiro, o facto das organizações que adotem a ISO 27701 criarem evidências documentais de como lidam com o tratamento de dados pessoais (e que podem ser usadas para demonstrar conformidade com leis e regulamentos relacionados); segundo, esta norma facilitar acordos com parceiros de negócios onde o tratamento de dados pessoais é relevante; terceiro, a proteção da reputação da organização e reafirmação aos clientes / titulares de dados que os seus dados pessoais estão efetivamente a ser geridos de forma adequada e responsável e quarto, sendo este ponto muitíssimo importante, a demonstração da eficácia dos processos para identificar, priorizar e gerir riscos de privacidade ao longo de toda a cadeia de processamento de dados pessoais.
Ao participar como profissional de consultoria na “Comissão Técnica 163 – Segurança da Informação” realço a necessidade de um papel ativo na consciencialização desta norma e, neste sentido, destaco o lançamento do portal informativo www.ISO27701.pt para esse mesmo efeito.
Em suma, qualquer organização que pretenda ter o caminho facilitado para a demonstração de conformidade com o RGPD poderá usar a via de certificação, cujo objetivo não é mais do que aumentar a transparência e a conformidade, sendo o único requisito necessário a certificação da 27001.
origem: ISO 27701: A nova norma que facilita a conformidade do RGPD | Computerworld
Sirlei Madruga de Oliveira
Editora do Guia do CFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br