ISO 27701 – Extensão ISO 27001/2 para Privacidade de Dados. “ISO 27701 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines“, publicada em agosto de 2019.

A  GDPR da UE (Regulamento Geral de Proteção de Dados)  e a LGPD (Lei d de Privacidade de dados brasileira)  exigem que os controladores e processadores de dados pessoais implementem “medidas técnicas e organizacionais” apropriadas para protegê-lo, bem como medidas para garantir a privacidade dos dados pessoais.

No entanto, as regulamentações fornecem pouca orientação sobre a forma que essas medidas devem assumir.

Para resolver este problema a ISO (International Organization for Standardization) e a IEC (International Electrotechnical Commission) desenvolveram uma nova adição à  família de normas de segurança da informação ISO 27000  para fornecer essa orientação: ISO / IEC 27701 Técnicas de segurança – extensão à ISO / IEC 27001 e ISO / IEC 27002 para gerenciamento de informações privadas – Requisitos e diretrizes. 

O que é a ISO 27701?

O ISO.org diz que a ISO27701  “especifica requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO / IEC 27001 e ISO / IEC 27002 para gerenciamento de privacidade no contexto da organização. ” …

especifica os requisitos relacionados ao PIMS e fornece orientações para controladores de PII e processadores de PII responsáveis ​​e responsáveis ​​pelo processamento de PII.” …

“é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de PII e / ou processadores de PII que processam PII dentro de um ISMS.”

De outra forma, a ISO 27701 especifica os requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente – um PIMS (privacy information management system) com base nos requisitos, objetivos e controles de controle na norma de gerenciamento de segurança da  informação ISO 27001, e estendido por um conjunto de requisitos específicos da privacidade, objetivos e controles de controle.

A ISO 27001 estabelece os requisitos para um SGSI (sistema de gerenciamento de segurança da informação, do inglês ISMS), uma abordagem baseada em riscos que abrange pessoas, processos e tecnologia. A certificação credenciada de forma independente para a ISO 27001 fornece às partes interessadas a garantia de que os dados estão sendo adequadamente protegidos.

“As organizações podem implementar a ISO 27001 e a ISO 27701 juntas como um único projeto de implementação”

As organizações que implementaram a ISO 27001 poderão usar a ISO 27701 para estender seus esforços de segurança para cobrir o gerenciamento de privacidade – incluindo o processamento de dados pessoais / PII (informações de identificação pessoal) – que os ajudarão a demonstrar conformidade com as leis de proteção de dados, como o GDPR.

As organizações podem implementar a ISO 27001 e a ISO 27701 juntas como um único projeto de implementação. Como a ISO 27701 simplesmente expande os requisitos e orientações fornecidos pela ISO 27001 e seu código de prática, a ISO 27002, não há necessidade de combinar dois sistemas de gerenciamento ou projetos de implementação separados.

Qual é a diferença entre um sistema de gerenciamento de informações privadas e um sistema de gerenciamento de informações pessoais?

Enquanto a ISO 27701 estabelece os requisitos para um sistema de gerenciamento de informações privadas, a BS-10012 é o padrão britânico para um sistema de gerenciamento de informações pessoais (Personal Information Management System).

Na realidade não há diferença material entre os dois termos – ambos são sistemas de gerenciamento projetados para proteger informações pessoais – e, para o bem das atividades diárias, você pode assumir o acrônimo ‘PIMS’ para se referir a ambos. No entanto, segundo o IT Governance existem algumas diferenças notáveis ​​entre as duas abordagens, que apresentamos abaixo.

IT Governace GDPR x ISO27701

Mapeamentos de controle ISO 27701

Além de fornecer requisitos, controles e objetivos específicos de privacidade para controladores e processadores, a ISO 27701 inclui anexos que os mapeiam para:

  • ISO 29100 (Tecnologia da informação – Técnicas de segurança – Estrutura de privacidade) ;
  • ISO 29151 (Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de informações de identificação pessoal) ; e
  • ISO 27018 (Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII) .

Ele também contém um anexo que mapeia seus requisitos e controles com os requisitos do GDPR; portanto, a ISO 27701 pode ser usada como um guia de conformidade do GDPR e LGPD por controladores e processadores de dados.

Por exemplo, as obrigações dos controladores de dados de atender aos direitos dos titulares de dados de acordo com o GDPR/LGPD são cobertas pelos controles da ISO 27701, que cobrem as obrigações para com os diretores de PII e também são fornecidas orientações para a implementação de cada controle.

Demonstrar conformidade com GDPR com ISO 27701 e ISO 27001

A implementação das normas ISO 27701 e ISO 27001 permitirá que você atenda aos requisitos de privacidade e segurança da informação do GDPR, LGPD e de outros regimes de proteção de dados e demonstre que possui acordos de gerenciamento para “medidas técnicas e organizacionais apropriadas” para proteger os dados pessoais que você processa e defender os direitos dos titulares dos dados, em conformidade com o princípio da responsabilidade do regulamento (artigo 5.º, n.º 2).

Os artigos da GDPR e LGPD que discutem mecanismos de certificação de proteção de dados e selos e marcas de proteção de dados. Ainda não existem tais mecanismos. No entanto, é possível obter certificação credenciada de forma independente para a ISO 27001 – e, por extensão, ISO 27701 se você implementar seus controles – o que demonstrará às partes interessadas e reguladores que sua organização está seguindo as melhores práticas internacionais quando se trata de proteger dados pessoais / PII.

Consulte e compre a ISO 27701 no site da ISO.org por CHF 178.00 (Franco suíço) ou aproximadamente R$730,00

 Fonte: IT Governance & ISO.org & Minuto da Segurança