A ISO 27701, uma extensão ISO 27001, é uma norma internacional focada em gestão de privacidade de dados. Seu principal objetivo é definir os requisitos adicionais à norma de segurança, de modo que o tratamento das informações considere a questão da privacidade das mesmas.
Por se tratar de uma norma generalista, é aplicável a organizações de diferentes portes e segmentos de mercado, sendo estas do setor público ou privado. Graças a isso, as empresas podem utilizá-la como base para se adequarem à Lei Geral de Proteção de Dados (LGPD), e as demais leis deste tipo que foram criadas ao redor do mundo nos últimos anos.
Neste artigo destacaremos o que é a ISO 27701, suas vantagens e para quem é indicada. Além disso, destacaremos o passo a passo para sua implantação. Acompanhe a seguir.
Qual a diferença entre a ISO 27001 e a ISO 27701?
A ISO 27001 é a norma que estabelece os controles necessários para uma adequada gestão de segurança da informação. Por meio dessa norma, torna-se possível implantar os princípios de segurança da informação de maneira eficiente e eficaz.
Já a ISO 27701 endereça especificamente a questão das informações relacionadas a privacidade, trazendo para isso controles adicionais a ISO 27001. Ou seja, a implantação da 27701 depende da implantação 27001.
Como a ISO 27701 apoia a Lei Geral de Proteção de Dados?
Antes de prosseguirmos com este artigo é necessário entendermos o conceito básico da Lei Geral de Proteção de Dados (LGPD).
A LGPD está em vigor no Brasil desde agosto de 2020, tendo como objetivo garantir a transparência e a segurança no tratamento de dados pessoais por parte das empresas. Baseia-se na General Data Protection Regulation (ou Regulamento Geral sobre a Proteção dos Dados), uma lei europeia que define as regras sobre a coleta e o compartilhamento de informações pessoais, respeitando os princípios da privacidade e da liberdade.
Entretanto, a LGPD, assim como as leis de privacidade específicas de cada país, determina o que deve ser feito, mas não como deve ser feito. E neste momento chegamos a ISO 27701. Esta norma pode, e deve, ser utilizada como um direcionador para implantar os controles necessários para uma adequada gestão de privacidade, dando assim um maior respaldo legal à empresa que a implanta.
Quais as vantagens da ISO 27701?
A ISO 27701 é capaz de proporcionar diversos benefícios para as empresas. Entre os principais estão:
- mostrar aos funcionários, fornecedores e clientes que a empresa se preocupa com seus dados, melhorando assim a imagem da empresa perante o mercado;
- otimizar os processos internos referentes à proteção dos dados pessoais, reduzindo o risco de vazamento de dados;
- conscientizar os funcionários sobre a importância da segurança e da privacidade das suas informações;
- proporcionar transparência nos controles direcionados à gestão da privacidade, pois todos saberão como os dados são tratados;
- facilitar o fechamento de acordos com parceiros que se preocupam com o tema da privacidade;
- E, finalmente, direcionar a adequação à Lei Geral de Proteção de Dados e às outras leis relacionadas à privacidade.
Para quem a ISO 27701 é indicada?
A ISO 27701 é recomendada para as empresas que realizam o armazenamento e/ou tratamento de informações pessoais em larga escala, ou para fornecedores de empresas que os fazem.
É cada vez mais comum a inclusão de cláusulas relacionadas à privacidade em minutas contratuais, e uma certificação como a ISO 27701 traz a tranquilidade do cumprimento de tais cláusulas para ambas as partes.
Como implementar a ISO 27701?
Primeiramente, a empresa deve adequar-se aos controles definidos na ISO 27001, que, como mencionado anteriormente, é a norma base para essa. Depois de tal adequação, os próximos passos são:
- Avaliar os processos corporativos, identificando aqueles que tratam informações pessoais;
- Adequar os processos corporativos à norma;
- Implantar os demais controles especificados na norma;
- Promover treinamentos regulares para todos os colaboradores, garantindo que os mesmos seguirão as novas práticas de gestão de segurança da informação;
- Contratar uma instituição avaliadora para verificar se a sua organização adota os processos da ISO 27701 de forma adequada.
Como a Future pode te ajudar?
Sabemos que a execução dos passos citados acima não é algo simples, dependendo de conhecimento específico e da disponibilidade de recursos (humanos e financeiros).
Com ampla experiência em processos de avaliação e adequação à LGPD, a Future destaca-se no mercado brasileiro como uma das principais alternativas para apoiar empresas de todos os portes e segmentos em sua jornada de adequação à ISO 27001. Conte conosco.
Ficou com alguma dúvida sobre a ISO 27701? Entre já em contato conosco! Nós, da Future, estamos disponíveis para ajudá-lo a esclarecer os seus questionamentos. Será um grande prazer auxiliá-lo!