O que é a ISO 27701 e quais seus impactos nas empresas?

Desde a criação da Lei Geral de Proteção de Dados – LGPD, empresas de direito público e privado que realizam o tratamento de dados pessoais tiveram que passar por transformações para adequar-se às suas diretrizes. Para auxiliá-las nesse processo surgiu a ISO 27701.

A ISO 27701 funciona como uma forma de aprimorar os sistemas de segurança da informação, servindo como auxílio para que empresas se adequem à LGPD.

O que é ISO 27701?

ISO 27701 é uma norma que traz uma série de requisitos e direções para estabelecer, implementar, conservar e melhorar, continuamente, o Sistema de Gerenciamento de Informações de Privacidade (PIMS).

Ela faz parte da categoria de normas 27000, principalmente a 27001 e a 27002, e pode ser aplicada por todas as organizações, tanto privadas como públicas. Além disso, ela é entendida como uma extensão das exigências das anteriores.

Por meio dessa norma foi criado o chamado PII – Personally Identifiable Information, que é mapeado diretamente aos termos da LGPD.

Ou seja, eles são dados que podem permitir a identificação do titular, e são divididos em três:

• controller;
• processor; e
• principal.

O PII Controller ou controlador de dados, é a parte que determina quais os objetivos e de qual forma os dados pessoais serão tratados.

Já o PII Processor é o processador de dados, ou seja, o a parte que trata ou processa os dados pessoais para o controlador dos dados, seguindo todas as instruções.

Por último, o PII Principal é o titular dos dados, a pessoa natural a qual as informações objeto de tratamento se referem.

Quais as diferenças entre a ISO 27001 e a 27701?

Um ponto muito mencionado é a diferença entre as normas ISO 27001 e a 27701.

A norma ISO 27001 diz respeito ao Sistema de Gestão de Segurança da Informação. Trata-se de uma norma para a implementação desse sistema, sempre tendo como foco a segurança da informação

A segunda, a ISO 27701, por outro lado, trata do Sistema de Gestão de Segurança Privada, sendo um acréscimo da anterior. O objetivo desta, por sua vez, é a de adicionar mais controles ao sistema de gestão, gerando privacidade total para os dados pessoais.

No entanto, a implementação da 27701 depende diretamente que a série 27001 já tenha sido aplicada na empresa. É recomendado, inclusive, que ambas sejam implementadas em paralelo, mas nunca a norma ISO 27701 deve ser colocada sem a outra.

Vale pontuar que nenhuma das duas normas podem ser confundidas com a ISO 27552, que traz benefícios como uma padronização da privacidade dos dados. Por meio desta, a transferência internacional de informações se torna mais fácil.

Porém, ela é bem diferente das duas normas citadas anteriormente.

Para quem essa ISO é indicada?

A indicação de implementação da norma ISO 27701 é para todas as organizações responsáveis pelo tratamento de dados pessoais.

Sendo assim, não importa se ela é uma empresa pública, privada, grande ou pequena. Se ela faz o tratamento de dados pessoais, ela deve aplicar a norma.

Como vantagens da norma, podemos elencar:

1. aumenta a confiança para com clientes e parceiros;
2. atende pontos estipulados pela LGPD e GDPR;
3. integra o Sistema de Gestão de Segurança da Informação exigido na ISO 27001;
4. gera transparência para com os titulares dos dados, que sabe como são tratados e o que é feito com cada informação;
5. melhora a competência e consciência dos trabalhadores quanto a segurança e privacidade de dados;
6. aponta os papéis e responsabilidades que cada funcionário da empresa possui; e
7. devido à confiança gerada, facilita a obtenção de parceiros para a empresa.

Junto a estas, existe outro benefício, que é a melhora dos processos internos e, consequentemente, um menor risco de vazamento dos dados.

Como implementar a ISO 27701 em uma empresa?

Como dissemos anteriormente, a primeiro momento, para a implementação da norma ABNT NBR ISO/IEC 27701 a empresa deve contar com a ISO 27001 também.

E uma vez sendo certificada por esse selo, os passos a serem tomados são:

1. solicitar um diagnóstico especializado da norma para analisar o quão pronta a empresa está para atender as exigências de conduta;
2. contratar os serviços de uma consultoria especializada no assunto para coordenar esforços e orientar a aplicação das práticas exigidas;
3. após elaborar um projeto de adequação dos processos internos, contar com o serviço de uma instituição avaliadora a fim de analisar se a empresa se encontra dentro dos processos da norma.

Vale pontuar que é possível ter iniciativas internas para analisar a aplicação das práticas e criação dos projetos.  Todavia, esse processo fica mais fácil quando conta com o auxílio de profissionais especializados no ramo.

Por fim, promova treinamentos sobre a ISO 27701 a fim de capacitar toda a equipe, ponto crucial para que os funcionários estejam de acordo com as novas práticas de gestão de segurança da informação.