Muita gente tem perguntado: Ter a certificação ISO/IEC 27001:2013 é o suficiente para estar dentro das novas regras da LGPD? E a certificação ISO/IEC 27001:2019?

Antes de mais nada é importante entender qual é a diferença básica entre a ISSO/IEC 27001 e a LGPD:

ISO/IEC 27001 – É um padrão para sistemas de gestão da segurança da informação cuja norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SISTEMA DE SEGURANÇA DA INFORMAÇÃO (SGSI) de uma empresa.

LGPD – É a legislação brasileira que regula as atividades de COLETA E TRATAMENTO DE DADOS PESSOAIS. Além disso leva em consideração a transparência nas relações, deixando claro em cada contato, com o titular dos dados, o que será feito com os dados coletados, dentre outras normas.

Ou seja, para que uma empresa esteja em conformidade com a LGPD (proteção e privacidade de dados) precisará estar em conformidade com a ISO/IEC 27001:2019 (segurança da informação).

Agora que você entendeu que a ISO/IEC 27001 trata de normas relacionadas à um SISTEMA de segurança da informação e que a LGPD trata de PROCESSOS e CONCEITOS relacionados a segurança de dados, vamos entender o que é necessário fazer no caso de empresas que possuem a ISO/IEC 27001:2013 e ISO/IEC 27001:2019.

Passo 1

As certificações ISO não substituem a LGPD, portanto, é necessária a adaptação das empresas para as novas regras para estarem em conformidade com a nova legislação.

Passo 2

Empresas com ISO/IEC 27001:2013 – recomenda-se a adaptação com a norma ISO 27001:2019, juntamente com as normas da LGPD.

Por quê?

Porque a ISO/IEC 27001:2013 não contempla em seu escopo normas suficientes para atender os requisitos de segurança da informação exigidos pela LGPD.

A LGPD está embasada em 10 princípios e deles, só 2 são atendidos pela ISO/IEC 21001:2013: a segurança e a prevenção, o que a torna incompleto.

Abaixo você verá os pontos que a ISO/IEC 27001:2013 entrega, em sintonia com a LGPD:

  • Identificação e atribuição de responsabilidades pela proteção de ativos;
  • Classificação da Informação;
  • Controle de acesso para limitação de acesso à informação da informação por pessoas não autorizadas;
  • Segurança da informação de forma específica;
  • Controle de fornecedores para que atendam aos requisitos mínimos de segurança de informação da empresa
  • Gestão de incidente de segurança da informação
  • dentre outros aspectos que tratem especificamente sobre SGSI.

Abaixo você verá os pontos que a ISO/IEC 27001:2013 entrega, em sintonia com a LGPD:

  • a atribuição de papéis dentro do tratamento de dados e diferenciação de responsabilidades (“controlador/”operador”);
  • a diferenciação de definição e tratamento de dados pessoais e dados pessoais sensíveis;
  • a necessidade de mapeamento de banco de dados com sua classificação por origem, base legal e finalidade;
  • a necessidade da eliminação de dados após tratamento;
  • a necessidade de garantia dos direitos dos titulares;
  • comunicação transparente para o titular de dados sobre a finalidade do uso de seus dados; dentre outros aspectos que tratem especificamente sobre Proteção de Dados Pessoais.

Por que é importante estar em conformidade com a ISO/IEC 27001:2019?

1- Visto que a ISSO/IEC 27001:2013 não entrega a totalidade das exigências de segurança da informação sob os aspectos privacidade e proteção dos dados, exigidas pela LGPD, foi desenvolvida a ISSO/IEC 27001:2019, como extensão da ISSO/IEC 27001:2013

2- Além disso, como a norma ainda não foi internalizada pela ABNT, em caso de autuação por infração da LGPD, estar em conformidade com a ISO/IEC 27001:2019 pode ser entendido como boa prática e significar atenuação na aplicação das penalidades.

Por que só a ISSO/IEC 27001:2019 não é suficiente?

Porque não entrega os padrões mínimos de segurança para assegurar a PROTEÇÃO DOS DADOS PESSOAIS exigidos pela LGPD, que é um assunto que extrapola a gestão da SEGURANÇA DA INFORMAÇÃO entregue pela ISO/IEC 27001:2019.

Sabemos que muitas empresas continuarão tendo muitas dúvidas porque o assunto é muito extenso e nos colocamos à disposição para conversar. Gostaríamos de dizer que a Terabyte já é uma empresa de TI certificada pela EXIN como DPO as a Service e que estamos plenamente capacitados para oferecer todo apoio necessário para sua empresa.

Fale conosco e fique tranquilo para atender a LGPD.

×

Olá, clique em nosso atendente abaixo para iniciar uma conversa no WhatsApp ou mande um e-mail para terabyte@terabyte.com.br

×