A utilização da ISO/IEC 27701 como apoio para a aplicação da LGPD

A entrada em vigor da Lei Geral de Proteção de Dados Pessoais - LGPD - lei 13.709/18 trouxe muitas novidades no que se refere à privacidade e segurança da informação, todavia, outras leis já mencionavam a tal privacidade, mas não de forma tão contundente. Temos por exemplo:

E, para nos aprofundarmos mais no tema em tela, além de legislações, o mercado também tem o suporte das famosas ISOs (International Organization for Standardization), que trazem padrões que demonstram o compromisso com a privacidade e a segurança das informações, além de facilitarem o dia a dia das organizações.

A conhecida ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação publicado em outubro de 2005 pelo ISOs. E, desde 2019, conta com o auxílio da ISO/IEC 27701, que é uma extensão de privacidade da ISO/IEC 27001. O objetivo do projeto é aprimorar o Sistema de Gerenciamento de Segurança da Informação existente com requisitos adicionais para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade.

Claro que não há um selo de adequação à LGPD (quem disser que existe, está mentindo), tampouco a ISO/IEC 27701 atesta a conformidade com a LGPD, no entanto, essa certificação coopera profundamente para que o sistema de gestão e a governança das organizações, no que se refere à privacidade e proteção de dados melhore continuamente.

As ISOs/IEC trazem muita organização e estruturação para as empresas, tanto de informações como de processos, o que facilita muito quando da adequação à LGPD.

Ela menciona, por exemplo, tópicos importantes, como liderança: "A alta direção deve demonstrar sua liderança e comprometimento em relação ao sistema de gestão da segurança da informação". Ou seja, traz um quê prático, demonstrando a importância do envolvimento de quem tem o controle da organização, eis que os colaboradores serão influenciados pelo exemplo que vem de cima.

Outro ponto fundamental é quando estabelece que ^{"A organização deve aplicar o processo de avaliação de riscos de segurança da informação para identificar os riscos associados à perda de confidencialidade, integridade e disponibilidade, dentro do escopo do SGPI"}. E quando pensamos em privacidade, consideramos não somente essa tríade de segurança da informação, mas também os riscos que podem ocasionar violações de dados pessoais, que podem gerar prejuízos financeiros e reputacionais às empresas.

Ainda, quando trata da parte de recursos, a referida norma traz muita similaridade com a LGPD, pois o art. 46 desta lei determina que "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito", enquanto a ISO/IEC 27701 coloca que "A organização deve determinar e prover recursos necessários para estabelecer, implementar, manter e melhorar continuamente o sistema de gestão da segurança da informação". Ou seja, mesmo sabendo que não há segurança 100%, para uma gestão eficiente, é essencial investir em recursos a fim de proteger dados pessoais e preservar a privacidade dos titulares.

Outra relação de suma importância se encontra na parte de conscientização. Enquanto o artigo 50 da LGPD estabelece que "Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos...", a ISO/IEC 27701, no tópico Conscientização menciona que "Pessoas que realizam trabalho sob o controle da organização devem estar cientes da política da segurança da informação; da sua contribuição para a eficácia do sistema de gestão da segurança da informação, incluindo os benefícios da melhoria do desempenho da segurança da informação; e das implicações da não conformidade com os requisitos do sistema de gestão da segurança da informação". Aculturar sobre privacidade, dentro de uma organização, é um trabalho de todos, sem exceção. A conscientização e a adoção de boas práticas são fundamentais para que todos possam compreender a importância de cumprir as legislações vigentes e aplicáveis de privacidade e proteção de dados pessoais.

Ao realizar o que define a LGPD, há a necessidade de evidenciar todas as ações, conforme o inciso X, do artigo 6º, o que tem relação direta com o que determina a ISO/IEC 27701 em seu tópico sobre Informação documentada: "O sistema de gestão da segurança da informação da organização deve incluir: informação documentada requerida por este documento; e informação documentada determinada pela organização como sendo necessária para a eficácia do sistema de gestão da segurança da informação". Em suma: não adianta ter o melhor programa de privacidade do mundo sem evidências que o validem.

Referente às hipóteses de tratamento de dados pessoais, a LGPD dispõe em seu artigo 7º: "O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses...". Na ISO/IEC 27701, encontramos: "Convém que a organização determine, documente e esteja em compliance com a base legal pertinente para o tratamento de DP, para os propósitos identificados". Em ambas é notória a importãncia da definição de uma base legal para que o tratamento de dados pessoais seja considerado regular.

Ainda, pensando na estruturação organização e melhoria contínua do sistema de gestão, a ISO/IEC 27701 traz tópicos como Avaliação de desempenho, onde as empresas farão monitoramentos, medições e análises de processos e controles; e Auditoria Interna, a fim de verificar se tudo está correndo em conformidade com a norma e sempre buscando a melhoria contínua dos processos.

Aqui, trouxemos alguns pontos da LGPD e da ISO/IEC 27701, voltados para privacidade e proteção de dados pessoais, mas ambas são documentos bem maiores e que devem ser lidos e interpretados com minúcia.

Após o término do projeto de adequação à LGPD, ele se torna um programa de conformidade que necessita de constante manutenção e atualização, logo, ter o suporte das normas ISO/IEC facilita essa tarefa. São ações que clareiam a forma de enxergar o sistema de gestão das informações tal como protegê-las da melhor forma, consequentemente, preservando a privacidade dos titulares de dados pessoais.

Obviamente que as ISOs não têm força de lei e não podem ser interpretadas como tal, todavia, são excelentes ferramentas de avaliação interna, que ajudam não somente na estruturação da empresa, no que tange à segurança da informação, mas também, na evolução da privacidade e proteção de dados pessoais dentro das organizações.