O tema LGPD (Lei Geral de Proteção de Dados Pessoais) está cada vez mais frequente em nosso cotidiano. Na mesma frequência, tem surgido dúvidas sobre a ISO/IEC 27001. Neste texto vamos falar brevemente dos dois assuntos e como eles interagem. Boa leitura!
LGPD
A Lei 13.709 (Lei Geral de Proteção de Dados Pessoais- LGPD) foi publicada em 14 de agosto de 2018 e entrou em vigor 24 meses depois, exceto os artigos da seção "Das Sanções Administrativas", que entra em vigor em 01 de agosto de 2021. Ela dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD contém medidas que afetam diretamente as atividades das organizações, de todos os setores da economia, consagrando os direitos do titular dos dados pessoais, uniformizando as definições relacionadas ao tratamento de dados pessoais e seu ciclo de vida, definindo os papéis dos agentes relacionados ao tratamento dos dados, declarando a obrigatoriedade de reporte ao regulador (Autoridade Nacional de Proteção de Dados) e aos titulares, em caso de violação de dados, e a necessidade de formular regras de boas práticas e de governança de segurança e proteção de dados; bem como pesadas multas pelo não cumprimento das normas previstas na Lei.
ISO/IEC 27001
A última revisão da ISO/IEC 27001 foi publicada em outubro de 2013 e especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI) no contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação adaptados às necessidades da organização. Os requisitos estabelecidos na ISO/IEC 27001 são genéricos e se destinam a ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.
O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados.
LGPD x ISO/IEC 27001
A gestão de riscos da ISO/IEC 27001 prevê controles operacionais para mitigá-los. Em consoância com a LGPD, destaco os requisitos da seção A.18 - Conformidade abaixo:
A.18.1.1 - Identificação da legislação aplicável e de requisitos contratuais: Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, devem ser explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
A.18.1.4 - Proteção e privacidade de informações de identificação de pessoal: A privacidade e proteção das informações de identificação pessoal devem ser asseguradas conforme requerido por legislação e regulamentação pertinente, quando aplicável.
Desta forma, uma boa implementação da ISO/IEC 27001 vai atender aos requisitos da LGPD.
Ainda está com dúvida ou precisa de ajuda?
Nós da E2S Consultoria podemos te ajudar!
Entre em contato!
contato@e2sconsultoria.com.br