Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

A implementação da ISO 27001 satisfaz os requisitos da EU GDPR?

Ultimamente, tenho recebido perguntas como: “Se a ISO 27001 é implementada em minha organização, ela estará totalmente em conformidade com a EU GDPR (European Union General Data Protection Regulation – Regulamentação Geral de Proteção de Dados da União Europeia)? ” e “Nossa organização é certificada na ISO 27001. Nós já estamos em conformidade com a EU GDPR? ”.

A nova regulamentação introduz uma série de regras que requerem que as organizações implementem controles para proteger dados pessoais. A implementação da ISO 27001 ajudará as organizações a responder este requisito.

Minha organização precisa estar em conformidade com a EU GDPR?

Como escrevi em meu último artigo: O que é a EU GDPR por que ela é aplicável para todo o mundo?, existem dois tipos de responsabilidades com relação a proteção de dados pessoais – “controladores” de dados e “processadores” de dados.

Especificamente, qualquer negócio que determina os propósitos e meios de processamento de dados pessoais e considerado um “controlador”. Qualquer negócio que processa dados pessoais em nome do controlador é considerado um “processador”.

Assim, as organizações que precisam estar em conformidade com a EU GDPR são organizações (controladores e processadores) estabelecidas ou não na EU, oferecendo mercadorias ou serviços dentro da EU ou para indivíduos da UE.

Como a EU GDPR e a ISO 27001 estão relacionadas?

A ISO 27001 é um framework para proteção da informação. De acordo com a GDPR, dados pessoais são informações críticas que todas as organizações precisam proteger. Claro, existem alguns requisitos da EU GDPR que não são diretamente cobertos na ISO 27001, tais como suporte aos direitos dos sujeitos aso quais os dados pessoais se referem: o direito de ser informado, o direito de ter seus dados excluídos, e a portabilidade de dados. Mas, se a implementação da ISO 27001 identifica dados pessoais como um ativo de segurança da informação, a maior parte dos requisitos da EU GDPR serão cobertos.

A ISO 27001 provê os meios para assegurar esta proteção. Existem muitos pontos onde a norma ISO 27001 pode ajudar as organizações a atingir a conformidade com esta regulamentação. Aqui estão alguns dos pontos mais relevantes:

  • Avaliação de Risco – Devido as altas multas definidas na EU GDPR e o grande impacto financeiro nas organizações, é natural que o risco encontrado durante a avaliação de risco com relação a dados pessoais seja muito alto para não ser tratado. Por outro lado, um dos novos requisitos da EU GDPR é a implementação da Avaliação de Impacto da Proteção de Dados, onde as organizações terão primeiro que analisar os riscos a privacidade deles, da mesma forma que é requerido pela ISO 27001. Claro, quando da implementação da ISO 27001, os dados pessoais devem ser classificados como criticamente altos, mas de acordo com o controle A.8.2.1 (Classificação da informação): “Informação deveria ser classificada em termos de requisitos legais, valor, criticalidade e sensibilidade com relação a divulgação ou modificação não autorizada”. (Leia o artigo Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas para saber mais.)
  • Conformidade – Com a implementação da ISO 27001, por conta do controle A.18.1.1 (Identificação de legislação e requisitos contratuais aplicáveis), é obrigatório ter uma lista de requisitos legislativos, estatutários, regulatórios e contratuais relevantes. Se a organização precisa estar em conformidade com a EU GDPR (veja a seção acima), esta regulamentação terá que fazer parte desta lista. Em qualquer caso, mesmo se a organização não for coberta pela EU GDPR, o controle A.18.1.4 (Privacidade e proteção de informações de identificação pessoal) da ISO 27001 guia as organizações através da implementação de uma política de dados e proteção de informações de identificação pessoal.
  • Notificação de vazamento – Organizações terão que notificar autoridade de dados dentro de 72 horas após o vazamento de dados pessoais ter sido descoberto. A implementação do controle A.16.1 (Gestão de incidentes de segurança da informação e melhorias) da ISO 27001 assegurará “uma abordagem consistente e eficaz para a gestão de incidentes de segurança da informação, incluindo a comunicação de eventos de segurança”. De acordo com a EU GDPR, os sujeitos de dados (“O Sujeito de Dados é um indivíduo vivo a quem o dado pessoal está relacionado. ”) também terá que ser notificado, mas apenas se os dados representam um “alto risco aos direitos e liberdade do sujeito de dados”. A implementação da gestão de incidentes, a qual resulta em detecção e reporte de incidentes de dados pessoais, trará uma melhoria para a organização desejando estar em conformidade com a GDPR.
  • Gestão de Ativos – O controle A.8 (Gestão de Ativos) da ISO 27001 leva a inclusão de dados pessoais como ativo de segurança da informação e permite à organização entender quais dados pessoais estão envolvidos e onde armazená-los, por quanto tempo, qual é sua origem, e quem tem acesso, que são requisitos da EU GDPR.
  • Privacidade por projeto – A adoção de Privacidade por Projeto, outro requisito da EU GDPR, se torna obrigatório no desenvolvimento de produtos e sistemas. O controle A.14 (Aquisição, desenvolvimento e manutenção de sistemas) da ISO 27001 assegura que “a segurança da informação é uma parte integral dos sistemas de informação por todo o ciclo de vida”.
  • Relações com fornecedores – O controle A.15.1 (Segurança da informação na relação com fornecedores) da ISO 27001 requer a “proteção dos ativos da organização que são acessíveis por fornecedores”. De acordo com a GDPR, a organização delega o processamento e armazenamento de dados pessoais a fornecedores; ela deverá requerer conformidade com os requisitos da regulamentação por meio de acordos formais.

A ISO 27001 é o bastante?

Em adição aos controles técnicos, documentação estruturada, monitoramento e melhoria continua adotadas, a implementação da ISO 27001 promove uma cultura e conscientização de incidentes de segurança nas organizações. Os empregados destas organizações estão mais conscientes e têm mais conhecimento para serem capazes de detectar e reportar incidentes de segurança. A segurança da informação não é apenas sobre tecnologia; ela também é sobre pessoas e processos.

A norma ISO 27001 é um excelente framework para conformidade com a EU GDPR. Se a organização já implementou a norma, ela está ao menos na metade do caminho em direção a assegurar a proteção de dados pessoais e de minimizar os riscos de um vazamento, dos quais o impacto financeiro e visibilidade poderiam ser catastróficos para a organização. A primeira coisa que uma organização deveria fazer é conduzir uma análise de lacunas com relação à EU GDPR para determinar o que permanece para ser feito para atender os requisitos da EU GDPR, e então estes requisitos podem ser facilmente adicionados através do Sistema de Gestão de Segurança da Informação que já está definido pela ISO 27001.

Da família ISO 27000, a ISO/IEC 27018 também deveria ser consultada (Código de prática para proteção de PII (Personally Identifiable Information – Informações de Identificação Pessoal) em nuvens públicas atuando como processadores de PII) se a organização armazena/processa dados pessoais na nuvem. Veja o artigo ISO 27001 vs. ISO 27018 – Standard for protecting privacy in the cloud para saber mais.

Para resumir, quase qualquer organização que está operando internacionalmente terá que estar em conformidade com está regulamentação. Como a ISO 27001 é internacionalmente reconhecida e implementada em todo o mundo, ela pode ser a melhor opção para facilitar a conformidade imediata com a EU GDPR.

Para obter mais informações sobre esse tópico, baixe este paper gratuito: What is EU GDPR and how can ISO 27001 help?

Nós agradecemos a Rhand Leal pela tradução para o português.

Tag: #ISO 27001