Proteção de dados e certificação ISO 27701 

Desde que o GDPR entrou em vigor em 2018, muitas coisas mudaram na proteção de dados. Aplicam-se requisitos adicionais para as empresas. A não conformidade pode resultar em penalidades relacionadas às vendas em milhões. Mais recentemente, portanto, a necessidade de introduzir uma certificação separada de proteção de dados tornou-se muito alta em círculos de especialistas.

A certificação ISO pode ajudar a garantir que as empresas cumpram com os regulamentos relevantes de proteção de dados. Agora, as empresas devem obter a certificação ISO 27701 em proteção de dados e assim demonstrar o mais alto nível de segurança de dados.

Mas será que isso foi conseguido? O que a ISO diz sobre a proteção de dados? E como funciona exatamente a certificação ISO 27701? - Respondemos a estas e outras perguntas neste artigo.

Os fatos mais importantes em um relance 

• A certificação ISO destina-se a ser utilizada como prova para demonstrar que Os dados pessoais são processados em conformidade com a GDPR. 
• A ISO 27701 complementa a ISO 27001 e 27002, particularmente no que diz respeito aos sistemas de gestão e processamento de dados. 
• A certificação é benéfica se um Sistema ISMS já está em vigor e só precisa ser complementada.
• A vantagem mais crucial de tal certificação é que ela permite que as empresas atendam Exigências legais da UE e um reconhecido internacionalmente certificação. 

Por que a certificação de proteção de dados?

O tema da proteção de dados assumiu um papel muito mais significativo do que nunca. Portanto, o desejo de um certificação de proteção de dados tem sido expressa por muitas partes.

Esta certificação deve levar em conta os regulamentos do GDPR e tornar mais fácil para as empresas integrar a gestão de proteção de dados em conformidade legal em seus processos comerciais. A ISO 27701 pretende atender a este desejo como uma certificação correspondente.

É bom saber: Tal certificação também está explicitamente prevista no Art. 42 do PIBR. 

Qual é a diferença entre ISO e ISMS? 

A certificação ISO é uma norma que visa demonstrar a conformidade com os regulamentos na área de proteção de dados, entre outras coisas. Assim, a ISO 27701 complementa um sistema de gerenciamento de segurança da informação (ISMS, em resumo).

Muitas empresas que já utilizam um SGSI só precisam integrar os requisitos ISO em seu sistema existente e expandir os processos. Por exemplo, a obrigação de informar incidentes de segurança e proteção de dados definidos pela GDPR pode ser integrada nos processos ISO e tratada automaticamente. O sofisticado sistema ISO também permite registros de processamento mais eficientes.

O que é ISO? 

ISO é a abreviação de Organização Internacional de Normalização, que se propôs a tarefa de estabelecer padrões uniformes para produtos e serviços em todo o mundo.

É, portanto, a contraparte internacional do Instituto Alemão de Normalização (DIN), representando a Alemanha na ISO. Desde sua fundação em 1947, a organização suíça já publicou 24.000 normas em todas as áreas da vida.

Para as empresas afetadas pela proteção de dados, as normas ISO da série 2700 são particularmente relevantes. O 27xxx normas se relacionam com a segurança da informação e a proteção de dados. A principal norma e base é sempre ISO 27001. Além disso, várias outras normas ISO complementam ou concretizam a ISO 27001 e fornecem informações aprofundadas específicas do setor.

Essenciais para as normas ISO são as chamadas sistemas de gerenciamento. Estes são descritos em DIN EN ISO EC 27000 capítulo 3.2.5 como segue:

Importante: Um sistema de gestão deve ser pensado e estabelecido na organização a longo prazo. Ele requer melhoria contínua, desenvolvimento e controle para que o sistema funcione em termos de certificação ISO.

Qual é a diferença entre ISO e GDPR?

O GDPR é um regulação da União Européia (UE), que obriga todas as empresas e autoridades dentro dos estados membros a cumprir as exigências da lei de proteção de dados. Trata-se, portanto, de uma padronização legal que não é dispositiva, mas obrigatório para cumprir com.

Por outro lado, a ISO padrão envolve voluntário regulamentos para empresas. São diretrizes, cujo cumprimento pode ser certificado, mas as empresas não são obrigadas pelo Estado a cumpri-las. A situação é diferente se uma empresa compromete-se contratualmente com o cumprimento, por exemplo, com outro parceiro contratual ou no caso de certificação.

Em linguagem simples: As normas ISO somente se tornam legalmente obrigatórias quando leis ou regulamentos as citam ou se referem a elas, e assim se tornam o conteúdo da lei.

Mas as normas ISO são freqüentemente usadas como uma chamada "opinião de especialista antecipada" em processos judiciais. Ela fala pela empresa se ela opera e cumpre com elas.

O que é a certificação ISO 27701? 

ISO 27701 é um certificado para gestão da proteção de dados. Ela estende o padrão internacionalmente reconhecido em relação à proteção de dados e segurança da informação. Os regulamentos destinam-se a garantir Processamento de dados pessoais em conformidade com a GDPR. Portanto, o foco está também nos requisitos sistemáticos para sistemas de gerenciamento de proteção de dados que tenham como objeto a segurança da informação.

A certificação com ISO 27701 exige que 27001 (Sistema de Gestão de Segurança da Informação) exigências são cumpridas. Além da ISO 27001, a nova norma ISO também inclui extensões da ISO 27002, que contém orientações sobre a implementação da primeira.

ISO 27701 contém orientações sobre os seguintes pontos:

• Melhorias na proteção de dados
• Nomeação e designação das pessoas responsáveis pelo "Sistema de Gerenciamento de Informações de Privacidade" (PIMS)
• Treinamento em proteção de dados para funcionários
• Registro de acessos e alterações de dados ou aqueles autorizados a acessar dados
• Criptografia de dados pessoais particularmente sensíveis
• Incorporação do princípio "Privacy by Design".
• Revisão dos incidentes de proteção de dados

Em termos de conteúdo, a ISO 27701 estabelece assim a ligação entre as medidas de proteção de dados e a segurança da informação estabelecendo regras para estabelecer, implementar e melhorar a gestão das informações sobre proteção de dados. Estes sistemas são então verificados e certificados por organismos de certificação credenciado pelo DakkS (Organismo Alemão de Credenciamento).

Quais são os benefícios da certificação ISO 27701? 

Para atender todas as exigências legais e operacionais de proteção de dados, agora é essencial que as empresas estabeleçam e operem um sólido sistema de gerenciamento de proteção de dados.

Como parte das normas ISMS, a certificação ISO 27701 contribui significativamente para uma comprovado alto nível de segurança da informação. Isto oferece às empresas a vantagem de integrar um sistema de gerenciamento abrangente e seguro para segurança da informação e proteção de dados em suas operações.

Os seguintes aspectos de Certificação ISO 27701 são particularmente dignas de nota:

• O cumprimento da norma ISO como padrão internacional fortalece a confiança na proteção de dados da empresa. É uma prova internacionalmente reconhecida de conformidade com as normas de proteção de dados - não apenas na União Européia (UE).
• Uma vez certificado, ele ajuda as empresas a cumprir com o GDPR a longo prazo.
• A certificação ISO 27701 também pode facilitar a comprovação do processamento de dados em conformidade com a GDPR, simplificando as negociações contratuais, já que não são necessários regulamentos individuais.
• A certificação esclarece as responsabilidades e responsabilidades. Ela fornece critérios e regulamentos transparentes para todas as partes envolvidas.
• Ele cria uma ligação entre o ISMS e os sistemas de gerenciamento de proteção de dados.

Proteção de dados de acordo com ISO 27701 

ISO 27701 tem a mesma estrutura que ISO 27001 e a amplia implementando um sistema de gerenciamento para a proteção de dados. A norma acrescenta aspectos de proteção de dados às diretrizes e assim representa uma extensão do SGSI existente em gestão da proteção de dados. 

Em contraste com outras normas ISO, a ISO 27701 não se concentra na segurança da informação, mas em proteção de dados pessoais e pessoas envolvidas. O SGSI existente deve, portanto, ser expandido e complementado para incluir a proteção dos grupos de pessoas afetadas.

Por um lado, proteção de dados e segurança da informação estão interligados, mas por outro lado, também deve haver espaço para medidas que sirvam exclusivamente para a proteção de dados.

As adições mais significativas dentro da ISO 27701 estão resumidas abaixo.

Tratamento de incidentes de proteção de dados de acordo com a norma ISO 27701

A ISO 27701 faz especificações ampliadas para o tratamento de incidentes de proteção de dados, que anteriormente eram regulamentados nas normas ISO 27001 e ISO 27002.

• Primeiro, a ISO 27701 exige que as organizações designem claramente as partes responsáveis por identificação e documentação de violações de proteção de dados.
• Da mesma forma, as responsabilidades e procedimentos relativos ao notificação dos sujeitos dos dados e as autoridades relevantes são definidas, considerando os regulamentos legais.
• Ao mesmo tempo, é necessário rever todos os processos internos e incidentes de segurança para violações de proteção de dados e desenvolver um plano de reação que é ativado imediatamente quando tal violação ocorre.
• Esses planos e sistemas também devem ser incorporados posteriormente em todos os contratos com clientes (ou seja, partes potencialmente afetadas) e todos os outros contratantes, para que todas as ações da empresa participem e sejam monitoradas em relação a esses planos.
• As empresas devem integrar estes regulamentos ISO 27701 em seu ISMS existente. A melhor maneira de fazer isso é primeiro analisar de perto os regulamentos sobre profilaxia de emergência e gerenciamento de emergência e, se necessário, acrescentá-los no ponto apropriado.
• Também deve ser verificado se já existe um conceito de segurança de TI na empresa e se os processos devem complementá-lo para as obrigações de resposta e relatórios. Não só os incidentes internos devem ser considerados aqui, mas também os efeitos de ataques informáticos.

Proteção de dados: Requisitos para os direitos dos titulares dos dados pela ISO 27701

A proteção de dados serve em particular para proteger os sujeitos dos dados. Além dos clientes, isto freqüentemente inclui fornecedores, parceiros contratuais e funcionários. A ISO 27701 estipula que cada empresa deve especificar exatamente quem o partes interessadas são (ou seja, as partes que se tornam relevantes no contexto da proteção de dados). Isto inclui os sujeitos dos dados, as autoridades de supervisão relevantes, etc.

Deve-se observar o seguinte:

• Se possível, os sujeitos dos dados devem ser nomeados da forma mais precisa possível.
• Também aqui deve ser determinado quem é responsável pelos direitos das pessoas em causa (oficial PII).
• Por um lado, os responsáveis devem garantir que os sujeitos dos dados sejam adequadamente informados sobre o processamento de seus dados e que cumpram com todas as exigências legais.
• A Empresa ou o Processador (Processador PII), por outro lado, é obrigado a garantir que todas as obrigações legais, regulamentares e comerciais sejam levadas em conta e que as informações sobre elas sejam comunicadas às partes afetadas.
• Além disso, todos os o processamento de dados pessoais deve ser documentado e mecanismos previstos para que mudanças e revogações de consentimento ao processamento de dados possam ser processadas.

Como alcançar estes objetivos é explicado e listado em detalhes na ISO 27701.

ISO 27701: Regras de processamento de registros 

Os registros de processamento são usados para determinar se e quais dados pessoais são processados e para documentar essas operações para proteger os dados adequadamente.

O regulamento visa que os controladores de dados documentem e verifiquem se o processamento de dados é legalmente legítimo e para fins claramente definidos. Recomenda-se a utilização do registros de processamento de acordo com a Arte. 30 GDPR para este fim.

Além disso, os controladores de dados devem definir as medidas que tomarão para atingir este objetivo e criar um lista mostrando quais dados serão processados, como e com que finalidade, e quais ações os protegerão.

Avaliações de impacto da proteção de dados de acordo com a ISO 27701

Como no GDPR, avaliações de impacto da proteção de dados também são mencionados na ISO 27701. Neste contexto, a ISO 27701 estipula que as empresas devem nomear alguém internamente responsável pelo medidas de controle e proteção de dados. A GDPR os designa como "responsáveis pela privacidade de dados". que pode assumir atividades de monitoramento e consultoria e fornecer informações sobre as avaliações de impacto da proteção de dados executadas.

Nós escrevemos um artigo separado sobre o escopo de deveres dos responsáveis pela proteção de dados.

De acordo com a ISO 27701, a empresa deve verificar quais operações de processamento requerem uma avaliação do impacto da proteção de dados e, em seguida, realizar essa avaliação. Este é particularmente o caso para categorias específicas de dados pessoais, por exemplo, se o processamento de dados pessoais envolve um risco excepcionalmente alto para os sujeitos dos dados ou porque grandes volumes de dados estão sendo processados ou processamento sistemático está para acontecer.

Com relação às orientações sobre avaliações de impacto na privacidade, é feita referência a ISO/IEC 29134.

A ISO 27701 é o tão esperado certificado GDPR?

As empresas ainda anseiam por um certificado com o qual possam cumprir com segurança todas as regulamentações da GDPR. As exigências para tal certificação são explicitamente regulamentadas no Art. 43 GDPR.

Um credenciamento por organismos de certificação no sentido da ISO 17065 é necessário, mas isto está focado na certificação de produtos e processos. Entretanto, a nova ISO 27701 e a norma básica ISO 27001 enfocam o sistema de gerenciamento de proteção de dados e seus requisitos.

Estritamente falando, A ISO 27701 não cumpre com as disposições da GDPR e, portanto, não pode ser descrita como uma certificação no sentido da GDPR.

Isto se deve à formulação dentro da GDPR, uma vez que os sistemas de gestão também são basicamente processos ou funcionam de forma orientada a processos. A Certificação GDPR com base na ISO 27701 é, portanto, bastante concebível. Também é possível que a certificação ISO 27701 possa ser invocada como padrão para provar que os processos de dados pessoais estejam de acordo com a GDPR.

Conclusão

As empresas podem usar a certificação ISO 27701 para demonstrar, em nível internacional, que atendem a um de alta segurança padrão. Isto fortalece o padrão competitividade, simplifica negociações contratuais com parceiros comerciais, e aumenta a confiança dos clientes potenciais.

Em termos de conteúdo, a ISO 27701 é similar às exigências da GDPR em uma inspeção mais detalhada. É, portanto, fácil para a maioria das empresas integrar em seu sistema ISMS, principalmente se este já existir de acordo com a ISO 27001.

Infelizmente, a certificação ISO 27701 não satisfaz diretamente os requisitos para Cumprimento do GDPR, portanto, não fornece automaticamente uma certificação GDPR abrangente. No entanto, o certificado pode ser usado bem como prova de processamento de dados em conformidade com a lei.