Click Friday

Ganhe documentos no plano  Avançado para fechar mais negócios na sua Black Friday

Promoção Click Friday:
Contrate um plano de assinatura eletrônica e ganhe documentos adicionais. Consulte o regulamento e aproveite!
ISO 27701: Como garantir a privacidade e impulsionar a confiança do seu negócio

ISO 27701: Como garantir a privacidade e impulsionar a confiança do seu negócio

Publicado em:
03
/
10
/
2024

O que é ISO 27701?

A proteção de dados pessoais é uma preocupação cada vez mais recorrente no dia a dia das pessoas. Afinal, mais parcelas do cotidiano estão se tornando digitais, gerando informações recorrentes sobre nossos hábitos, preferências e tendências. Neste cenário, fornecer um serviço digital com alto grau de confiança e controles adequados de privacidade é um diferencial de mercado muito relevante. 

Uma das formas de atestar este grau de maturidade dos programas de privacidade é a certificação da ISO 27701. 

A ISO, sigla em inglês de “Organização Internacional para Padronização", é uma entidade que define padrões e normas com requisitos comuns e processos voltados à melhoria contínua de qualidade e segurança de diversos produtos e serviços. Dessa forma, a ISO é uma referência global, que facilita as trocas transnacionais, demonstrando um compromisso das organizações certificadas com a qualidade dos serviços epermitindo a otimização de processos e aumento da segurança.    

A Norma ISO 27701, como uma extensão¹ da ISO 27001 (Sistema de Gestão da Segurança da Informação), foi publicada no ano de 2019. Esta extensão de privacidade oferece um framework - ou seja, um conjunto de requisitos e controles específicos - para que as organizações realizem a gestão da privacidade, com capacidade de identificar, gerenciar e proteger dados pessoais. Como consequência, pode-se afirmar que uma organização certificada pela ISO possui estrutura para atender aos requisitos legais da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, “LGPD”) no Brasil e o GDPR (General Data Protection Regulation) na União Europeia. 

Quais são os principais requisitos e controles da ISO 27701?

Todas as normas da ISO possuem a mesma estrutura, dividida entre requisitos e controles. É possível dizer que os requisitos indicam as obrigações e os controles indicam as medidas e práticas para que os requisitos sejam cumpridos. Cumprir tanto os requisitos quanto os controles aplicáveis à organização (ainda que de forma adaptada ao contexto) é obrigatório para conquistar a certificação, já que os itens são complementares. 

Por ser uma extensão, os requisitos da ISO 27701 replicam vários dos requisitos da ISO 27001, adaptando-os para a proteção dos dados pessoais. Por exemplo, é necessário que a organização realize a publicação e manutenção de um programa gerencial de privacidade, que atenda às leis aplicáveis (como a LGPD, no contexto brasileiro) e que identifique (i) as partes interessadas no programa (como os titulares de dados pessoais); (ii) os objetivos; (iii) as políticas relacionadas; (iv) as responsabilidades das pessoas envolvidas, como do Encarregado de Dados Pessoais; (v) melhorias contínuas, entre outros tópicos.    

Já os controles, dispostos nos anexos da Norma, estão separados de acordo com a posição da organização enquanto agente de tratamento. Ou seja, há controles para operadores e controles para controladores de dados pessoais².

Ambos grupos de controles abordam os seguintes tópicos:

  • Condições para coleta e tratamento de dados pessoais: identificação da finalidade e das bases legais para o tratamento; definição de regras para obtenção e registro do consentimento; avaliação de impacto das atividades; terceiros envolvidos nas atividades, entre outros;
  • Obrigações para os titulares de dados pessoais: processo estabelecido para receber, triar e atender às requisições das pessoas referentes a seus dados;
  • Privacy by Design e Privacy by Default: processos para limitar as atividades de tratamento de dados pessoais ao mínimo necessário para atingir sua finalidade, inclusive excluindo os dados pessoais ao término das atividades de tratamento;
  • Compartilhamento, transferência e divulgação de dados pessoais: regras para lidar com a relação com outros controladores, operadores e/ou suboperadores de dados ou quando for necessário enviar dados pessoais para outros países.

Como obter a certificação?

A certificação na ISO 27701 envolve um processo estruturado e exige um compromisso da organização que se pretende certificar. Embora as etapas possam variar dependendo do negócio, da centralidade dos dados pessoais, do tamanho e da complexidade das atividades da organização, o caminho para a certificação geralmente segue as mesmas fases. 

O primeiro passo é a conscientização: garantir que todos os empregados e a alta liderança saibam do valor da proteção de dados para a organização e dos benefícios trazidos pela certificação. Assim, é importante ter um planejamento para realizar ações de treinamento (como habilitar os empregados a relatar um incidente ou solicitar exercício de direitos de titulares); distribuir pílulas sobre o assunto; e, basicamente, fazer a área de privacidade estar presente para sensibilizar os empregados. 

O passo seguinte é também um dos controles básicos da Norma: identificar as atividades operacionais da organização que tratam dados pessoais. Esta identificação, popularmente conhecida como mapeamento ou data mapping, permite registrar a finalidade, base legal, tipos de dados usados, grupos de titulares afetados, quais são os terceiros envolvidos e as áreas ou setores responsáveis por cada grupo de atividades.   

A partir deste mapeamento, deve ser realizada uma análise para identificar as lacunas entre as práticas da empresa e os requisitos da ISO 27701 e de outras leis aplicáveis (como a LGPD, no contexto brasileiro). Esta análise fornece um diagnóstico para apontar as oportunidades de melhoria e áreas que precisam de ajustes para mitigação de riscos e conformidade com a Norma. 

Ao implementar as melhorias, é interessante contar com a política gerencial de privacidade, citada anteriormente. Esta política funciona como um guia para a proteção dos dados pessoais, dando diretrizes sobre como deve ser feito o tratamento de dados, como são atendidos os direitos dos titulares, quais devem ser as medidas de segurança adotadas e quais são os procedimentos para a notificação de incidentes.

As lacunas identificadas na análise guiam os controles a serem implementados para atender às exigências da ISO 27701. Esses controles podem incluir a gestão de acessos, a criptografia de dados, backups regulares, testes de segurança, gestão de incidentes, entre outros. É interessante implementar estes controles seguindo um plano de ação registrado, pois manter a documentação das atividades realizadas é uma forma da organização se responsabilizar pela proteção dos dados e permitir a prestação de contas.

Depois de implementadas as medidas para adequação das práticas da organização com a ISO, deve ser conduzida uma auditoria interna, antes da auditoria da autoridade certificadora. Esta auditoria interna é um segundo momento de gap analysis, também permitindo verificar se o sistema de gestão está em conformidade com a Norma e outras oportunidades de melhorias. Caso a organização não tenha uma área ou setor dedicado a realizar auditorias internas, é possível contratar uma auditoria independente. Vale dizer que esta etapa é um requisito obrigatório para a certificação. 

Aplicados os controles, feita a auditoria, estabelecido e executado um novo plano de ação, a organização pode buscar a certificação junto a uma autoridade certificadora independente. Esse organismo realizará uma auditoria externa para confirmar que o sistema de gestão da privacidade está conforme os requisitos da ISO 27701.

A Clicksign é a única empresa brasileira do mercado de assinatura eletrônica a ser certificada pela ISO 27701

Confiança é um dos valores da Clicksign, empresa pioneira no mercado de assinatura eletrônica no Brasil. Respeitar e investir na privacidade e na proteção de dados pessoais dos nossos usuários é uma prioridade, que se transformou na jornada da certificação da ISO 27701. 

A partir de uma análise rigorosa dos processos internos e da implementação de todos os controles requeridos pela Norma e pela LGPD, a Clicksign mapeou suas atividades de tratamento de dados pessoais, avaliou e tratou os riscos de privacidade envolvidos no negócio.

O processo de certificação também gerou um ganho na cultura da organização, já que, além dos treinamentos periódicos que os Clicksigners recebem, também são feitas diversas atividades de conscientização.  

A certificação demonstra o compromisso da empresa com a privacidade de nossos usuários e otimizou os controles internos, reduzindo os riscos de suas atividades e garantindo um nível de confiança elevado. 

Conclusão

Decidir-se pela certificação impõe um trabalho conjunto de diversas áreas da empresa, porém, obter a certificação da ISO 27701 é um investimento, especialmente para empresas de tecnologia que prezam pela segurança, proteção de dados e pela confiança de seus usuários. 

Afinal, a certificação demonstra um compromisso inegável da organização com a privacidade dos usuários, já que impõe uma estrutura de gestão, com análises de risco, envolvimento da alta liderança, treinamentos periódicos e melhorias contínuas. 

–––––––––––––––––––––

¹ No contexto das Normas da ISO, uma extensão significa especificações ou adaptações de regras em um contexto específico. No caso citado, a ISO 27701 de privacidade está conectada à ISO 27001 de segurança da informação.

² A Norma não possui uma definição particular para controlador e operador, apoiando-se nos conceitos jurídicos da LGPD. De acordo com a legislação, o controlador é aquele que determina os propósitos e formas do tratamento de dados pessoais enquanto o operador realiza o tratamento de dados pessoais em nome do controlador.