Desde 2021, o governo criou uma nova camada desafiadora para as organizações: a Lei Geral de Proteção de Dados (LGPD). Apesar de aprovada em 2018, entrou em vigor em setembro de 2020, e as sanções administrativas passaram a ser exigíveis a partir de agosto de 2021.
A LGPD, como muitos já sabem, dispõe “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
Embora em escala menor, o mercado de empresas de TI já está em movimento, preocupado em atender aos requisitos legais definidos. Ao procurar mais informações sobre a LGPD, é comum que as organizações se deparem com a ISO/IEC 27001.
Ainda existem muitas dúvidas, confusões e expectativas equivocadas tanto em relação à LGPD quanto à ISO/IEC 27001 e suas associadas (ISO/IEC 27002, ISO/IEC 27701). Grande parte das empresas que nos procuram ainda tem grandes dúvidas de como começar a sua adequação, seja à legislação ou às normas. Vamos tentar esclarecer algumas dessas confusões e alinhar um pouco mais as expectativas.
A LGPD é uma Lei, não uma norma ou modelo a ser seguido. Ela padroniza a privacidade e tratamento de dados pessoais por empresas e profissionais autônomos. Baseia-se no conceito de dados pessoais sensíveis, abrangendo as seguintes informações: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou orientação sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.
Antes de mais nada, a adequação à lei é uma questão de gestão de riscos. Sob o ponto de vista organizacional, isso representa o quanto a empresa está disposta a correr riscos relacionados a processos judiciais, perder contratos ou ter sua reputação abalada no mercado por vazamentos indevidos. Tudo isso pode resultar em prejuízos financeiros vultosos, sem contar as multas que podem ser aplicadas pela ANPD – Autoridade Nacional de Proteção de Dados. O objetivo, aqui, é fazer com que as organizações e profissionais autônomos tenham mais cuidado no tratamento e compartilhamento de dados com terceiros.
Tratando-se de uma lei, há um viés jurídico significativo. Contudo, há também um viés técnico, orientando formas de tratar dados pessoais e evitar que vazamentos indevidos se tornem dores de cabeça, demonstrando a boa-fé das organizações ao gerenciar e compartilhar tais dados.
É aí que a ISO/IEC 27001, a ISO/IEC 27701 e outras normas e modelos entram em cena, auxiliando as organizações a gerir de forma adequada a segurança dos dados e outras informações que queiram proteger.
A ISO/IEC 27001 é focada na construção de um SGSI (Sistema de Gestão de Segurança da Informação). É uma norma que define um conjunto de controles que impactam a organização como um todo. Embora a certificação possa ser aplicada a uma unidade organizacional específica, os controles afetam toda a infraestrutura de TI dessa unidade. Ter uma certificação da ISO/IEC 27001 é uma forma de garantir que a organização implemente um SGSI de acordo com os padrões estabelecidos e devidamente acreditados.
Credibilidade é a palavra chave. Ser certificado por uma terceira parte respeitada e independente transmite confiança à gerência, parceiros de negócios, clientes e auditores que uma organização leva a sério a gestão da Segurança da Informação.
A implementação dos requisitos da norma ISO/IEC 27001 é um caminho para adequação à LGPD. Ela acaba funcionando como um guia (roadmap) para adequação. No entanto, o aspecto jurídico também é fundamental, pois impacta contratos e acordos, exigindo discussões contínuas para garantir a conformidade em diferentes contextos.
A implementação de ISO/IEC 27001 começa através de um diagnóstico detalhado para entender as práticas existentes na organização (sim! Provavelmente você já tem em execução uma série de práticas que são englobadas pela norma), identificar lacunas e avaliar a extensão da documentação das políticas e procedimentos. A ideia da ISO/IEC 27001 é criar uma consciência sobre segurança da informação.
Com base em nossa experiência, a implementação de ISO 27001 geralmente leva cerca de 12 meses, mas esse prazo pode variar dependendo da dedicação da equipe interna, da existência de uma consultoria especializada (fator crítico de sucesso), e do escopo (departamentos) da implementação. Os processos e procedimentos do SGSI devem ser implementados antes da auditoria de certificação.
É importante lembrar que a implementação dessa norma envolve três componentes:
Atualmente, nem o governo nem grandes clientes exigem a certificação ISO/IEC 27001, mas tê-la já representa um grande passo para evitar dúvidas de terceiros e demonstrar comprometimento com as melhores práticas. Ainda que a intenção seja criar uma conscientização e garantir que as organizações tratem adequadamente as informações que detém ou que operam, possuir o selo pode, de fato, significar ganho competitivo. Portanto, é necessário buscar organismos de certificação que possam prover serviços de auditorias.
A auditoria de certificação ocorre em duas etapas: fase 1 e fase 2. Na fase 1, é feita uma análise documental, enquanto a fase 2 ocorre no local, verificando a implementação dos controles técnicos e de governança, além de entrevistar responsáveis por executar os procedimentos previstos no SGSI (Sistema de Gestão de Segurança da Informação).
Todas as pessoas da organização podem ser auditadas nesta etapa. Anualmente, são feitas as auditorias de manutenção, cujo escopo é reduzido. Após três anos, é necessário realizar uma nova auditoria de certificação.
A discussão sobre este assunto está longe de terminar. Quanto mais experiência acumulamos em implementação e auditorias, nos deparamos com novos desafios e novas interpretações.
Cada contexto é único, exigindo dos profissionais flexibilidade e conhecimento sobre como aplicar os requisitos de forma a agregar valor à empresa e aos seus colaboradores. Este é um processo contínuo de amadurecimento e aprimoramento, que combina aprendizado teórico e prático.
A Promove possui uma equipe experiente e preparada para diagnosticar e acompanhar sua empresa na adequação das práticas de Segurança da Informação e Privacidade.
Nenhum comentário aprovado.
Deixe um comentário