{"id":10309,"date":"2016-10-18T18:53:00","date_gmt":"2016-10-18T18:53:00","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=10309"},"modified":"2022-07-17T15:49:45","modified_gmt":"2022-07-17T15:49:45","slug":"a-implementacao-da-iso-27001-satisfaz-os-requisitos-da-eu-gdpr","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/10\/18\/a-implementacao-da-iso-27001-satisfaz-os-requisitos-da-eu-gdpr\/","title":{"rendered":"A implementa\u00e7\u00e3o da ISO 27001 satisfaz os requisitos da EU GDPR?"},"content":{"rendered":"<p>Ultimamente, tenho recebido perguntas como: \u201cSe a <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0\u00e9 implementada em minha organiza\u00e7\u00e3o, ela estar\u00e1 totalmente em conformidade com a EU GDPR (European Union General Data Protection Regulation \u2013 Regulamenta\u00e7\u00e3o Geral de Prote\u00e7\u00e3o de Dados da Uni\u00e3o Europeia)? \u201d e \u201cNossa organiza\u00e7\u00e3o \u00e9 certificada na ISO 27001. N\u00f3s j\u00e1 estamos em conformidade com a EU GDPR? \u201d.<\/p>\n<p>A nova regulamenta\u00e7\u00e3o introduz uma s\u00e9rie de regras que requerem que as organiza\u00e7\u00f5es implementem controles para proteger dados pessoais. A implementa\u00e7\u00e3o da ISO 27001 ajudar\u00e1 as organiza\u00e7\u00f5es a responder este requisito.<\/p>\n<h2>Minha organiza\u00e7\u00e3o precisa estar em conformidade com a EU GDPR?<\/h2>\n<p>Como escrevi em meu \u00faltimo artigo: <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/10\/07\/o-que-e-a-eu-gdpr-por-que-ela-e-aplicavel-para-todo-o-mundo\/\">O que \u00e9 a EU GDPR por que ela \u00e9 aplic\u00e1vel para todo o mundo?<\/a>, existem dois tipos de responsabilidades com rela\u00e7\u00e3o a prote\u00e7\u00e3o de dados pessoais \u2013 \u201ccontroladores\u201d de dados e \u201cprocessadores\u201d de dados.<\/p>\n<p>Especificamente, qualquer neg\u00f3cio que determina os prop\u00f3sitos e meios de processamento de dados pessoais e considerado um \u201ccontrolador\u201d. Qualquer neg\u00f3cio que processa dados pessoais em nome do controlador \u00e9 considerado um \u201cprocessador\u201d.<\/p>\n<p>Assim, as organiza\u00e7\u00f5es que precisam estar em conformidade com a EU GDPR s\u00e3o organiza\u00e7\u00f5es (controladores e processadores) estabelecidas ou n\u00e3o na EU, oferecendo mercadorias ou servi\u00e7os dentro da EU ou para indiv\u00edduos da UE.<\/p>\n<h2>Como a EU GDPR e a ISO 27001 est\u00e3o relacionadas?<\/h2>\n<p>A ISO 27001 \u00e9 um framework para prote\u00e7\u00e3o da informa\u00e7\u00e3o. De acordo com a GDPR, dados pessoais s\u00e3o informa\u00e7\u00f5es cr\u00edticas que todas as organiza\u00e7\u00f5es precisam proteger. Claro, existem alguns requisitos da EU GDPR que n\u00e3o s\u00e3o diretamente cobertos na ISO 27001, tais como suporte aos direitos dos sujeitos aso quais os dados pessoais se referem: o direito de ser informado, o direito de ter seus dados exclu\u00eddos, e a portabilidade de dados. Mas, se a implementa\u00e7\u00e3o da ISO 27001 identifica dados pessoais como um ativo de seguran\u00e7a da informa\u00e7\u00e3o, a maior parte dos requisitos da EU GDPR ser\u00e3o cobertos.<\/p>\n<p>A ISO 27001 prov\u00ea os meios para assegurar esta prote\u00e7\u00e3o. Existem muitos pontos onde a norma ISO 27001 pode ajudar as organiza\u00e7\u00f5es a atingir a conformidade com esta regulamenta\u00e7\u00e3o. Aqui est\u00e3o alguns dos pontos mais relevantes:<\/p>\n<ul>\n<li><strong>Avalia\u00e7\u00e3o de Risco<\/strong> \u2013 Devido as altas multas definidas na EU GDPR e o grande impacto financeiro nas organiza\u00e7\u00f5es, \u00e9 natural que o risco encontrado durante a <a href=\"\/27001academy\/pt-br\/documentation\/metodologia-de-avaliacao-e-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener\">avalia\u00e7\u00e3o de risco<\/a> com rela\u00e7\u00e3o a dados pessoais seja muito alto para n\u00e3o ser tratado. Por outro lado, um dos novos requisitos da EU GDPR \u00e9 a implementa\u00e7\u00e3o da Avalia\u00e7\u00e3o de Impacto da Prote\u00e7\u00e3o de Dados, onde as organiza\u00e7\u00f5es ter\u00e3o primeiro que analisar os riscos a privacidade deles, da mesma forma que \u00e9 requerido pela ISO 27001. Claro, quando da implementa\u00e7\u00e3o da ISO 27001, os dados pessoais devem ser classificados como criticamente altos, mas de acordo com o controle <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-gestao-de-informacoes-classificadas\/\" target=\"_blank\" rel=\"noopener\">A.8.2.1 (Classifica\u00e7\u00e3o da informa\u00e7\u00e3o)<\/a>: \u201cInforma\u00e7\u00e3o deveria ser classificada em termos de requisitos legais, valor, criticalidade e sensibilidade com rela\u00e7\u00e3o a divulga\u00e7\u00e3o ou modifica\u00e7\u00e3o n\u00e3o autorizada\u201d. (Leia o artigo <a href=\"\/27001academy\/pt-br\/knowledgebase\/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas\/\">Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a> para saber mais.)<\/li>\n<li><strong>Conformidade<\/strong> \u2013 Com a implementa\u00e7\u00e3o da ISO 27001, por conta do controle A.18.1.1 (Identifica\u00e7\u00e3o de legisla\u00e7\u00e3o e requisitos contratuais aplic\u00e1veis), \u00e9 obrigat\u00f3rio ter uma lista de requisitos legislativos, estatut\u00e1rios, regulat\u00f3rios e contratuais relevantes. Se a organiza\u00e7\u00e3o precisa estar em conformidade com a EU GDPR (veja a se\u00e7\u00e3o acima), esta regulamenta\u00e7\u00e3o ter\u00e1 que fazer parte desta lista. Em qualquer caso, mesmo se a organiza\u00e7\u00e3o n\u00e3o for coberta pela EU GDPR, o controle A.18.1.4 (Privacidade e prote\u00e7\u00e3o de informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal) da ISO 27001 guia as organiza\u00e7\u00f5es atrav\u00e9s da implementa\u00e7\u00e3o de uma pol\u00edtica de dados e prote\u00e7\u00e3o de informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal.<\/li>\n<li><strong>Notifica\u00e7\u00e3o de vazamento<\/strong> \u2013 Organiza\u00e7\u00f5es ter\u00e3o que notificar autoridade de dados dentro de 72 horas ap\u00f3s o vazamento de dados pessoais ter sido descoberto. A implementa\u00e7\u00e3o do controle <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/procedimento-de-gestao-de-incidentes\/\" target=\"_blank\" rel=\"noopener\">A.16.1 (Gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o e melhorias)<\/a> da ISO 27001 assegurar\u00e1 \u201cuma abordagem consistente e eficaz para a gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o, incluindo a comunica\u00e7\u00e3o de eventos de seguran\u00e7a\u201d. De acordo com a EU GDPR, os sujeitos de dados (\u201cO Sujeito de Dados \u00e9 um indiv\u00edduo vivo a quem o dado pessoal est\u00e1 relacionado. \u201d) tamb\u00e9m ter\u00e1 que ser notificado, mas apenas se os dados representam um \u201calto risco aos direitos e liberdade do sujeito de dados\u201d. A implementa\u00e7\u00e3o da gest\u00e3o de incidentes, a qual resulta em detec\u00e7\u00e3o e reporte de incidentes de dados pessoais, trar\u00e1 uma melhoria para a organiza\u00e7\u00e3o desejando estar em conformidade com a GDPR.<\/li>\n<li><strong>Gest\u00e3o de Ativos<\/strong> \u2013 O controle <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/inventario-de-ativos\/\" target=\"_blank\" rel=\"noopener\">A.8 (Gest\u00e3o de Ativos)<\/a> da ISO 27001 leva a inclus\u00e3o de dados pessoais como ativo de seguran\u00e7a da informa\u00e7\u00e3o e permite \u00e0 organiza\u00e7\u00e3o entender quais dados pessoais est\u00e3o envolvidos e onde armazen\u00e1-los, por quanto tempo, qual \u00e9 sua origem, e quem tem acesso, que s\u00e3o requisitos da EU GDPR.<\/li>\n<li><strong>Privacidade por projeto<\/strong> \u2013 A ado\u00e7\u00e3o de Privacidade por Projeto, outro requisito da EU GDPR, se torna obrigat\u00f3rio no desenvolvimento de produtos e sistemas. O controle A.14 (Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistemas) da ISO 27001 assegura que \u201ca seguran\u00e7a da informa\u00e7\u00e3o \u00e9 uma parte integral dos sistemas de informa\u00e7\u00e3o por todo o ciclo de vida\u201d.<\/li>\n<li><strong>Rela\u00e7\u00f5es com fornecedores<\/strong> \u2013 O controle <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/clausulas-de-seguranca-para-fornecedores-e-parceiros\/\" target=\"_blank\" rel=\"noopener\">A.15.1 (Seguran\u00e7a da informa\u00e7\u00e3o na rela\u00e7\u00e3o com fornecedores)<\/a> da ISO 27001 requer a \u201cprote\u00e7\u00e3o dos ativos da organiza\u00e7\u00e3o que s\u00e3o acess\u00edveis por fornecedores\u201d. De acordo com a GDPR, a organiza\u00e7\u00e3o delega o processamento e armazenamento de dados pessoais a fornecedores; ela dever\u00e1 requerer conformidade com os requisitos da regulamenta\u00e7\u00e3o por meio de acordos formais.<\/li>\n<\/ul>\n<h2>A ISO 27001 \u00e9 o bastante?<\/h2>\n<p>Em adi\u00e7\u00e3o aos controles t\u00e9cnicos, documenta\u00e7\u00e3o estruturada, monitoramento e melhoria continua adotadas, a implementa\u00e7\u00e3o da ISO 27001 promove uma cultura e conscientiza\u00e7\u00e3o de incidentes de seguran\u00e7a nas organiza\u00e7\u00f5es. Os empregados destas organiza\u00e7\u00f5es est\u00e3o mais conscientes e t\u00eam mais conhecimento para serem capazes de detectar e reportar incidentes de seguran\u00e7a. A seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o \u00e9 apenas sobre tecnologia; ela tamb\u00e9m \u00e9 sobre pessoas e processos.<\/p>\n<p>A norma ISO 27001 \u00e9 um excelente framework para conformidade com a EU GDPR. Se a organiza\u00e7\u00e3o j\u00e1 implementou a norma, ela est\u00e1 ao menos na metade do caminho em dire\u00e7\u00e3o a assegurar a prote\u00e7\u00e3o de dados pessoais e de minimizar os riscos de um vazamento, dos quais o impacto financeiro e visibilidade poderiam ser catastr\u00f3ficos para a organiza\u00e7\u00e3o. A primeira coisa que uma organiza\u00e7\u00e3o deveria fazer \u00e9 conduzir uma an\u00e1lise de lacunas com rela\u00e7\u00e3o \u00e0 EU GDPR para determinar o que permanece para ser feito para atender os requisitos da EU GDPR, e ent\u00e3o estes requisitos podem ser facilmente adicionados atrav\u00e9s do Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o que j\u00e1 est\u00e1 definido pela ISO 27001.<\/p>\n<p>Da fam\u00edlia ISO 27000, a ISO\/IEC 27018 tamb\u00e9m deveria ser consultada (C\u00f3digo de pr\u00e1tica para prote\u00e7\u00e3o de PII (Personally Identifiable Information \u2013 Informa\u00e7\u00f5es de Identifica\u00e7\u00e3o Pessoal) em nuvens p\u00fablicas atuando como processadores de PII) se a organiza\u00e7\u00e3o armazena\/processa dados pessoais na nuvem. Veja o artigo <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2015\/11\/16\/iso-27001-vs-iso-27018-standard-for-protecting-privacy-in-the-cloud\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 vs. ISO 27018 \u2013 Standard for protecting privacy in the cloud<\/a> para saber mais.<\/p>\n<p>Para resumir, quase qualquer organiza\u00e7\u00e3o que est\u00e1 operando internacionalmente ter\u00e1 que estar em conformidade com est\u00e1 regulamenta\u00e7\u00e3o. Como a ISO 27001 \u00e9 internacionalmente reconhecida e implementada em todo o mundo, ela pode ser a melhor op\u00e7\u00e3o para facilitar a conformidade imediata com a EU GDPR.<\/p>\n<p><em>Para obter mais informa\u00e7\u00f5es sobre esse t\u00f3pico, baixe este paper gratuito: <\/em><a href=\"https:\/\/info.advisera.com\/27001academy\/free-download\/what-is-eu-gdpr-and-how-can-iso-27001-help\" target=\"_blank\" rel=\"noopener\">What is EU GDPR and how can ISO 27001 help?<\/a><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ultimamente, tenho recebido perguntas como: \u201cSe a ISO 27001\u00a0\u00e9 implementada em minha organiza\u00e7\u00e3o, ela estar\u00e1 totalmente em conformidade com a EU GDPR (European Union General Data Protection Regulation \u2013 Regulamenta\u00e7\u00e3o Geral de Prote\u00e7\u00e3o de Dados da Uni\u00e3o Europeia)? \u201d e \u201cNossa organiza\u00e7\u00e3o \u00e9 certificada na ISO 27001. N\u00f3s j\u00e1 estamos em conformidade com a EU &#8230;<\/p>\n","protected":false},"author":47,"featured_media":10310,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-10309","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/47"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=10309"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10309\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/10310"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=10309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=10309"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=10309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}