Muita gente tem perguntado: Ter a certificação ISO/IEC 27001:2013 é o suficiente para estar dentro das novas regras da LGPD? E a certificação ISO/IEC 27001:2019?
Antes de mais nada é importante entender qual é a diferença básica entre a ISSO/IEC 27001 e a LGPD:
ISO/IEC 27001 – É um padrão para sistemas de gestão da segurança da informação cuja norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SISTEMA DE SEGURANÇA DA INFORMAÇÃO (SGSI) de uma empresa.
LGPD – É a legislação brasileira que regula as atividades de COLETA E TRATAMENTO DE DADOS PESSOAIS. Além disso leva em consideração a transparência nas relações, deixando claro em cada contato, com o titular dos dados, o que será feito com os dados coletados, dentre outras normas.
Ou seja, para que uma empresa esteja em conformidade com a LGPD (proteção e privacidade de dados) precisará estar em conformidade com a ISO/IEC 27001:2019 (segurança da informação).
Agora que você entendeu que a ISO/IEC 27001 trata de normas relacionadas à um SISTEMA de segurança da informação e que a LGPD trata de PROCESSOS e CONCEITOS relacionados a segurança de dados, vamos entender o que é necessário fazer no caso de empresas que possuem a ISO/IEC 27001:2013 e ISO/IEC 27001:2019.
Passo 1
As certificações ISO não substituem a LGPD, portanto, é necessária a adaptação das empresas para as novas regras para estarem em conformidade com a nova legislação.
Passo 2
Empresas com ISO/IEC 27001:2013 – recomenda-se a adaptação com a norma ISO 27001:2019, juntamente com as normas da LGPD.
Por quê?
Porque a ISO/IEC 27001:2013 não contempla em seu escopo normas suficientes para atender os requisitos de segurança da informação exigidos pela LGPD.
A LGPD está embasada em 10 princípios e deles, só 2 são atendidos pela ISO/IEC 21001:2013: a segurança e a prevenção, o que a torna incompleto.
Abaixo você verá os pontos que a ISO/IEC 27001:2013 entrega, em sintonia com a LGPD:
- Identificação e atribuição de responsabilidades pela proteção de ativos;
- Classificação da Informação;
- Controle de acesso para limitação de acesso à informação da informação por pessoas não autorizadas;
- Segurança da informação de forma específica;
- Controle de fornecedores para que atendam aos requisitos mínimos de segurança de informação da empresa
- Gestão de incidente de segurança da informação
- dentre outros aspectos que tratem especificamente sobre SGSI.
Abaixo você verá os pontos que a ISO/IEC 27001:2013 entrega, em sintonia com a LGPD:
- a atribuição de papéis dentro do tratamento de dados e diferenciação de responsabilidades (“controlador/”operador”);
- a diferenciação de definição e tratamento de dados pessoais e dados pessoais sensíveis;
- a necessidade de mapeamento de banco de dados com sua classificação por origem, base legal e finalidade;
- a necessidade da eliminação de dados após tratamento;
- a necessidade de garantia dos direitos dos titulares;
- comunicação transparente para o titular de dados sobre a finalidade do uso de seus dados; dentre outros aspectos que tratem especificamente sobre Proteção de Dados Pessoais.
Por que é importante estar em conformidade com a ISO/IEC 27001:2019?
1- Visto que a ISSO/IEC 27001:2013 não entrega a totalidade das exigências de segurança da informação sob os aspectos privacidade e proteção dos dados, exigidas pela LGPD, foi desenvolvida a ISSO/IEC 27001:2019, como extensão da ISSO/IEC 27001:2013
2- Além disso, como a norma ainda não foi internalizada pela ABNT, em caso de autuação por infração da LGPD, estar em conformidade com a ISO/IEC 27001:2019 pode ser entendido como boa prática e significar atenuação na aplicação das penalidades.
Por que só a ISSO/IEC 27001:2019 não é suficiente?
Porque não entrega os padrões mínimos de segurança para assegurar a PROTEÇÃO DOS DADOS PESSOAIS exigidos pela LGPD, que é um assunto que extrapola a gestão da SEGURANÇA DA INFORMAÇÃO entregue pela ISO/IEC 27001:2019.
Sabemos que muitas empresas continuarão tendo muitas dúvidas porque o assunto é muito extenso e nos colocamos à disposição para conversar. Gostaríamos de dizer que a Terabyte já é uma empresa de TI certificada pela EXIN como DPO as a Service e que estamos plenamente capacitados para oferecer todo apoio necessário para sua empresa.
Fale conosco e fique tranquilo para atender a LGPD.
Comentários