MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Migalhas de peso >
  4. Possuir a certificação ISO/IEC 27001:2013 significa estar Compliance com a LGPD? E quais as expectativas para a ISO/IEC 27701:2019?

Possuir a certificação ISO/IEC 27001:2013 significa estar Compliance com a LGPD? E quais as expectativas para a ISO/IEC 27701:2019?

Vitor Morais de Andrade e Stella He Jin Kim

Recomendam-se as empresas com a certificação da ISO/IEC 27001:2013 a análise e adaptação com a norma ISO/IEC 27701:2019 em conjunto com o disposto na LGPD para que se confira um caráter completo de implementação do modelo de negócio fundado na privacidade e proteção de dados pessoais almejado pela LGPD.

sexta-feira, 23 de agosto de 2019

Atualizado em 22 de agosto de 2019 13:10

Muito já se ouviu falar na ISO/IEC 27001:2013, padrão internacional para sistema de gestão da segurança da informação, e agora, com a Lei Geral de Proteção de Dados Pessoais - lei federal 13.709/18 (LGPD), tornou-se recorrente a indagação sobre a adequação daqueles que são certificados pela ISO 27001:2013. Isso porque, afinal, possuir a certificação ISO/IEC 27001:2013 significa estar automaticamente Compliance com a LGPD?

A norma ISO/IEC 27001:2013 teve sua origem em novembro de 2005 da adaptação do padrão BS 7799 Parte 2 (British Standards) pela ISO (Internacional Organization for Standardization) e pelo IEC (International Electrotechical Commision), e foi integralizada nacionalmente pela ABNT - Associação Brasileira de Normas Técnicas que traduziu a norma em 2006, dando assim efetividade e impacto a esse padrão dentro do território brasileiro.

Tal norma trata especificamente dos requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação (SGSI) dentro de uma empresa, buscando garantir a confidencialidade, integridade e disponibilidade de um sistema de segurança.

Já a Lei Geral de Proteção de Dados - lei federal 13.709/18 sancionada em agosto de 2018, dispõe sobre a proteção de dados pessoais no Brasil, tratando acerca da coleta e tratamento de dados pessoais, e possui sua vigência prevista para agosto de 2020.

Para início da análise comparativa, é importante esclarecer que a LGPD busca regular a forma adequada de tratamento dos dados pessoais, levando em consideração a transparência nas relações, principalmente com o titular dos dados, criando a obrigação para àqueles que tratam os dados pessoais de garantir os direitos dos titulares desses dados.  

A segurança da informação, por sua vez, é parte essencial da LGPD posto que a proteção dos dados e da privacidade somente será possível com o sistema de gestão de segurança da informação adequado.

E apesar da ISO/IEC 27001:2013 cobrir diversos aspectos indispensáveis ao processo de adequação com a LGPD, como gestão de incidente de segurança, assim como padrões mínimos de segurança para assegurar a proteção dos dados pessoais, não garante o cumprimento total da Lei, visto que há exigências que extrapolam a gestão da segurança da informação.

Outro ponto a se destacar é que possuir a certificação é entendido pela LGPD como boa prática, ou seja, existiu boa fé na tentativa de prevenção ao incidente de dados, e quando comprovada perante a Autoridade Nacional de Proteção de Dados, pode resultar em atenuação de multa. E não obstante o impacto positivo, somente as boas práticas também não garantem a efetiva implementação da LGPD.

Finalmente, a certificação ISO/IEC 27001:2013 não é suficiente para a adequação com a LGPD posto que conforme se verifica do parâmetro A.18.1.1, a implementação da norma deverá acontecer em consonância com os requisitos legislativos estatutário, regulamentares e contratuais pertinentes. Contudo, considerando que a LGPD ainda não está em pleno vigor, não tem sido contemplada como requisito obrigatório para certificação. Assim, a partir de agosto de 2020, as empresas certificadas hoje poderão ser sinalizadas da necessidade de implementação de novos requisitos.

A natureza complementar dessas normas se destaca também pela análise de seus princípios norteadores. A LGPD é regida por 10 (dez) princípios, sendo abarcado pela norma ISO/IEC 27001:2013 somente 2 (dois) deles, a segurança e a prevenção, o que demonstra a sua indispensabilidade, assim como sua incompletude para assegurar a adequação completa com legislação de proteção de dados.

Diante dessa análise, possível concluir que estar em conformidade com a norma ISO/IEC 27001:2013 não necessariamente implicará em conformidade com a legislação de proteção de dados, entretanto, se tornará um bom indicador de que o processo de adequação está na metade do caminho.   

Para uma visão mais ampla acerca da implementação da LGPD, seguem alguns pontos que a ISO/IEC 27001:2013 determina como obrigatório em sintonia com a LGPD:

  • Identificação e atribuição de responsabilidades pela proteção de ativos (A.8.1);
  • Classificação da Informação (A.8.2.1);
  • Controle de acesso para limitação de acesso à informação da informação por pessoas não autorizadas (A.9.1);
  • Segurança da informação de forma específica (A.14);
  • Controle de fornecedores para que atendam aos requisitos mínimos de segurança de informação da empresa (A.15.1); e
  • Gestão de incidente de segurança da informação (A.16.1); dentro outros aspectos que tratem especificamente sobre SGSI.

E para comparação, seguem alguns pontos que a ISO/IEC 27001:2013 não contempla em seu escopo:

  • a atribuição de papéis dentro do tratamento de dados e diferenciação de responsabilidades ("controlador/"operador");
  • a diferenciação de definição e tratamento de dados pessoais e dados pessoais sensíveis;
  • a necessidade de mapeamento de banco de dados com sua classificação por origem, base legal e finalidade;
  • a necessidade da eliminação de dados após tratamento (art. 16, LGPD);
  • a necessidade de garantia dos direitos dos titulares (art.18, LGPD);
  • comunicação transparente para o titular de dados sobre a finalidade do uso de seus dados; dentre outros aspectos que tratem especificamente sobre Proteção de Dados Pessoais.

Diante do exposto, verifica-se que ambas as normas possuem preceitos convergentes, sem que, contudo, uma abranja a outra em sua totalidade, o que evidencia a natureza complementar de ambas. Desta forma, conclui-se que apesar da ISO/IEC 27001:2013 configurar como boa prática perante a aplicação da LGPD, por si só não configura como suficiente para implementação do disposto na legislação.

Nesse cenário, reconhecendo tal lacuna, fora desenvolvida a ISO/IEC 27701:2019, publicada em agosto de 2019, como uma extensão da ISO/IEC 27001:2013, em busca da complementação da norma sob os aspectos da privacidade e proteção de dados, inspirado no GDPR (General Data Protection Regulation).

Por enquanto, a norma ISO/IEC 27701:2019 ainda não foi integralizada ao âmbito nacional, sem prazo para sua tradução e internalização pela ABNT, o que permite as empresas, por hora, a incorporação da norma de forma independente como boa prática. 

Ressalta-se, contudo, que apesar dessa extensão tratar de privacidade e proteção de dados, fora desenvolvida influenciada no GDPR, e apesar da LGPD também ter sido inspirada no GDPR não se trata de uma cópia exata, e por isso, poderá não abarcar com precisão todos os requisitos necessários ao atendimento da legislação nacional.

Portanto, considerando o momento atual de adaptação para a entrada em vigor da LGPD, recomendam-se as empresas com a certificação da ISO/IEC 27001:2013 a análise e adaptação com a norma ISO/IEC 27701:2019 em conjunto com o disposto na LGPD para que se confira um caráter completo de implementação do modelo de negócio fundado na privacidade e proteção de dados pessoais almejado pela LGPD.

_______________

t*Vitor Morais de Andrade é sócio advogado do escritório LTSA Advogados

x

x

x

t*Stella He Jin Kim é advogada associada do escritório LTSA Advogados

APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP