A ISO 27701 especifica os requisitos para – e fornece orientações para estabelecer, implementar, manter e melhorar continuamente – um PIMS (sistema de gerenciamento de informações de privacidade) com base nos requisitos, objetivos e controles de controle na norma de gerenciamento de segurança da informação ISO 27001, e estendido por um conjunto de requisitos específicos da privacidade, objetivos e controles de controle.
A ISO 27001 estabelece os requisitos para um SGSI (sistema de gerenciamento de segurança da informação), uma abordagem baseada em riscos que abrange pessoas, processos e tecnologia. A certificação credenciada de forma independente para a ISO 27001 fornece às partes interessadas a garantia de que os dados estão sendo adequadamente protegidos.
As organizações que implementaram a ISO 27001 poderão usar a ISO 27701 para estender seus esforços de segurança para cobrir o gerenciamento de privacidade – incluindo o processamento de dados pessoais / PII (informações de identificação pessoal) – que os ajudarão a demonstrar conformidade com as leis de proteção de dados, como o GDPR.
As organizações sem um SGSI também podem implementar a ISO 27001 e a ISO 27701 juntas como um único projeto de implementação. Como a ISO 27701 simplesmente expande os requisitos e orientações fornecidos pela ISO 27001 e seu código de prática, a ISO 27002, não há necessidade de combinar dois sistemas de gerenciamento ou projetos de implementação separados.
Quem deve implementar a ISO 27701?
A ISO 27701 foi projetada para ser usada por todos os controladores e processadores de dados. Como a ISO 27001, defende uma abordagem baseada em riscos para que cada organização em conformidade lide com os riscos específicos que enfrenta, bem como com os dados pessoais e a privacidade.
Qual é a diferença entre um sistema de gerenciamento de informações de privacidade e um sistema de gerenciamento de informações pessoais?
Enquanto a ISO 27701 estabelece os requisitos para um sistema de gerenciamento de informações de privacidade, a BS 10012 é o padrão britânico para um sistema de gerenciamento de informações pessoais.
Há pouca diferença material entre os dois termos – ambos são sistemas de gerenciamento projetados para proteger informações pessoais – e, para o bem das atividades diárias, você pode assumir o acrônimo ‘PIMS’ para se referir a ambos. No entanto, existem algumas diferenças notáveis entre as duas abordagens, que são consideradas abaixo.
Também existem algumas diferenças na terminologia entre o GDPR e o rascunho da ISO 27701:
GDPR | ISO 27701 |
---|---|
Personal data | PII |
Data controller | PII controller |
Data processor | PII processor |
Data subject | PII principal |
Data protection by design | Privacy by design |
Data protection by default | Privacy by default |
Devo implementar a ISO 27701 ou BS 10012?
Ambos os padrões têm muito a recomendá-los. No entanto, eles diferem em certos aspectos.
O BS 10012 é um padrão britânico alinhado com o GDPR e o DPA 2018, enquanto o ISO 27701 evita o alinhamento com qualquer regime específico de proteção de dados. Isso concede uma aplicação mais ampla, permitindo que as organizações conformes cumpram vários regimes de privacidade.
Se sua organização precisa estar em conformidade apenas com o GDPR e o DPA 2018, você pode achar que o BS 10012 atende aos seus requisitos.
Se, no entanto, você precisar demonstrar que está em conformidade com vários regimes de proteção de dados – por exemplo, para garantir às partes interessadas fora do Reino Unido que você oferece segurança adequada aos dados pessoais -, você encontrará o padrão internacional que melhor se adequa aos seus objetivos.
Portanto, as organizações que estão em processo de implementação ou já implementaram a ISO 27001 devem achar relativamente fácil implementar a ISO 27701.
A Governança de TI pode ajudá-lo a determinar qual padrão é mais adequado às suas necessidades e fornecer todo o suporte à implementação necessário.
Mapeamentos de controle ISO 27701
Além de fornecer requisitos, controles e objetivos específicos de privacidade para controladores e processadores, a ISO 27701 inclui anexos que os mapeiam para:
- ISO 29100 (Tecnologia da informação – Técnicas de segurança – Estrutura de privacidade);
- ISO 29151 (Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de informações de identificação pessoal); e
- ISO 27018 (Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII).
- Ele também contém um anexo que mapeia seus requisitos e controles com os requisitos do GDPR, para que a ISO 27701 possa ser usada como um guia de conformidade do GDPR por controladores e processadores de dados.
Por exemplo, as obrigações dos controladores de dados de atender aos direitos dos titulares de dados de acordo com o GDPR são cobertas pelos controles da ISO 27701 que cobrem as obrigações para com os responsáveis pelas PII.
São fornecidas orientações para a implementação de cada controle.
Demonstrar conformidade com GDPR com ISO 27701 e ISO 27001
A implementação das normas ISO 27701 e ISO 27001 permitirá que você atenda aos requisitos de privacidade e segurança da informação do GDPR e de outros regimes de proteção de dados e demonstre que possui acordos de gerenciamento para “medidas técnicas e organizacionais apropriadas” para proteger os dados pessoais que você processa e defender os direitos dos titulares dos dados, em conformidade com o princípio da responsabilidade do regulamento (artigo 5.º, n.º 2).
O artigo 42 do GDPR discute mecanismos de certificação de proteção de dados e selos e marcas de proteção de dados. Ainda não existem tais mecanismos. No entanto, é possível obter certificação credenciada de forma independente para a ISO 27001 – e, por extensão, ISO 27701 se você implementar seus controles – o que demonstrará às partes interessadas e reguladores que sua organização está seguindo as melhores práticas internacionais quando se trata de proteger dados pessoais / PII.