O que é ISO 27701?

Com o surgimento e necessidade de adequação à nova Lei Geral de Proteção de Dados (LGPD), a procura por informações, normas, guias e frameworks de segurança da informação está cada vez maior. O prazo para adequação das empresas à LGPD está ficando cada vez mais apertado e o medo de receber multas paira sobre a cabeça de muitos empresários. Na busca por informações sobre adequação à LGPD, muitas empresas estão descobrindo a ISO 27701 e a ISO 27001. Mas será que se adequar à essas normas é suficiente para atender as necessidades da LGPD? O que é ISO 27701 e sobre o que ela trata? Vamos explicar isso tudo durante esse artigo!

ISO 27001 x ISO 27701

É importante inicialmente já deixar clara a diferença entre as normas ISO 27001 e ISO 27701.  

A norma ISO 27001 - Sistema de Gestão de Segurança da Informação - é uma norma para implementação de um sistema de gestão com foco em segurança da informação, enquanto a norma ISO 27701 - Sistema de Gestão de Segurança Privada - é uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.

Dito isso, é fundamental ressaltar que é necessário implementar a ISO 27001 para que possa ser possível estender seu escopo e atender também a ISO 27701. Claro que é possível (e recomendável) implementar ambas em paralelo, porém não é possível implementar somente a ISO 27701 sem implementar a ISO 27001, pois os principais controles relacionados a formação de um sistema de gestão seguro estão na ISO 27001.

Termos importantes

Alguns termos da ISO 27701 possuem um mapeamento direto com termos da LGPD, o que mostra a íntima relação entre a lei e a norma de extensão. São eles: 

• PII - Personally Identifiable Information - (LGPD: Dado Pessoal): Dados que possam permitir a identificação do Titular dos Dados. 
• PII Controller (LGPD: Controlador de Dados): é a parte interessada que determina os objetivos e meios pelos quais os dados pessoais serão tratados;
• PII Processor (LGPD: Processador de Dados): é a parte interessada que trata/processa os dados pessoais para o Controlador de Dados, seguindo suas instruções;
• PII Principal (LGPD:  Titular dos Dados): pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Quem deve implementar a ISO 27701?

Toda organização, de qualquer tamanho e natureza (pública ou privada),  que é responsável por processamento de dados pessoais (PII Processor) ou por controlar e fazer uso de dados pessoais (PII Controller), terão benefícios na adoção das melhores práticas definidas na ISO 27701. A gestão com base em riscos de segurança e privacidade busca ajudar as organizações a evitar possíveis vazamentos de dados, acessos indevidos e demais incidentes que podem acarretar em sérios problemas para a empresa.

O que é ISO 27701?

A norma ISO 27701 foi publicada no dia 05 de agosto de 2019 com o objetivo de ser uma adequação lógica para a LGPD e a GDPR. Ela veio como uma norma de extensão da ISO 27001 para tratar essa lacuna na ISO 27001, e pode ser adquirida no link acima por aproximadamente U$190,00.

Conforme comentado anteriormente, a ISO 27701 estende a norma ISO 27001 para incluir também os controles referente à privacidade dos dados. Isso significa que, além dos controles previstos pelo Sistema de Gestão de Segurança da Informação (SGSI), como a garantia da integridade, confidencialidade e disponibilidade dos dados, para atender a norma ISO 27701, esse sistema de gestão deve ser expandido para um “Privacy Information Management System” (PIMS), que é um sistema de gestão preocupado também com a gestão da privacidade dos dados pessoais. Esse sistema de gestão busca ajudar as empresas a gerenciar os riscos de privacidade relacionados aos dados pessoais, seja ela na relação com o controlador ou com o processador dos dados.

É importante ressaltar que ao certificar a ISO 27001 + ISO 27701, a empresa NÃO pode dizer que está automaticamente aderente à LGPD. No entanto, essa certificação demonstra que a empresa possui um sistema de gestão robusto e preocupado com a privacidade dos dados pessoais, seguindo as melhores práticas do mercado para gestão de segurança da informação e privacidade de dados. A LGPD não é, até o momento, oficialmente certificável, visto que ela ainda não está vigente e mecanismos de certificação ainda estão sendo discutidos.

Quais as principais vantagens da ISO 27701?

Os principais benefícios obtidos ao estabelecer um PIMS aderente à ISO 27701 são:

• Mostra para seus clientes, fornecedores e funcionários que a empresa tem a preocupação com os dados e informações deles, gerando aumento da confiança;
• Atende as principais exigências da LGPD e GDPR;
• Deixa claro para todos os envolvidos quais são os papéis e responsabilidades de cada um;
• Aumenta a competência e a consciência dos colaboradores em relação a segurança e privacidade dos dados;
• Melhora os processos internos, diminuindo os riscos de vazamentos de dados;
• Traz transparência nos controles estabelecidos para gestão da privacidade. Todos sabem como os dados são tratados e o que está sendo feito com eles;
• Facilita acordos com parceiros de negócio, através do aumento da segurança e confiança;
• Integra facilmente com o Sistema de Gestão da Segurança da Informação que é exigido pela ISO 27001.

Implementando a norma

Para implementar a ISO 27701, é necessário que a ISO 27001 seja implementada também. Para isso, é aceitável que a empresa já tenha certificado ou esteja em processo de certificação da ISO 27001. 

Também é normal que a empresa não tenha a ISO 27001. Nesse caso, é importante ressaltar que ela terá que fazer a implementação da ISO 27001 e da ISO 27701 em conjunto. Essa estratégia é recomendável e faz com que a implementação seja feita com menos esforço e dificuldades.

Como se preparar e certificar ISO 27701

Se interessou? Quer começar a preparação e certificar sua empresa na ISO 27701 para atender às práticas pedidas pela LGPD? Então siga os passos abaixo!

• Se você ainda não tem a ISO 27001, solicite um diagnóstico especializado em ISO 27001 e ISO 27701 para identificar o nível de prontidão da sua empresa em relação às exigências das normas. Caso sua empresa já tenha a ISO 27001, um diagnóstico específico da ISO 27701 é o recomendável;
• Busque treinamentos relacionados às normas ISO 27001 e 27701 e capacite sua equipe;
• Considere contratar uma consultoria especializada no assunto para coordenar os esforços e orientar na implementação das práticas exigidas pelas normas ou construa uma iniciativa interna para atuar na adequação das pessoas, processos e ferramentas às normas desejadas;
• Depois desse projeto de adequação dos processos internos, contrate uma instituição avaliadora para certificar sua empresa na norma desejada! Lembre-se que é possível fazer a ISO 27001 e sua extensão ISO 27701 durante a mesma auditoria.

A ProMove possui anos de experiência em implementação e adequação de processos utilizando as normas ISO como base. Também possuímos profissionais certificados em segurança da informação e proteção de dados que podem ajudar sua empresa a ficar aderente às normas de segurança com o menor impacto possível!

Antes de se adequar à ISO 27701, você precisa saber como está o sistema de gestão de segurança da informação da sua empresa, de acordo com a ISO 27001. Clique na imagem abaixo e realize um autodiagnóstico gratuitamente!

Ficou interessado? Quer mais detalhes sobre esta nova norma? Entre em contato conosco para entendermos melhor suas necessidades!

Rafael Rodrigues

Consultor da ProMove desde 2013, Rafael é Black Belt Lean Six-Sigma, especialista em mapeamento e melhoria de processos, implementação de ferramentas, Métodos Ágeis e Segurança da Informação. Também é auditor interno e realiza treinamentos em ISO 27001. Participa de implementações e avaliações CMMI há mais de 9 anos, além de ser implementador do modelo MPS.BR.