A necessária harmonização entre as ações de privacidade, proteção de dados pessoais e a ISO/IEC 27017

A privacidade e a proteção de dados pessoais têm se tornado foco diante da velocidade em que se apresentam as novas tecnologias. Com a crescente quantidade de informações pessoais sendo coletadas, processadas e armazenadas online, é imperioso estabelecer padrões e diretrizes que garantam a segurança e confidencialidade desses dados.

A Lei Geral de Proteção de Dados Pessoais - LGPD - lei 13.709/18 estabelece em seu artigo 46: "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito", o que permite a correlação com outras normas e padronizações internacionais, a fim de manter os ambientes organizacionais seguros.

Um exemplo, é a ISO 27017, que surge como uma ferramenta valiosa para organizações que buscam fortalecer suas práticas de segurança da informação, especialmente no que diz respeito à nuvem.

A computação em nuvem trouxe inúmeros benefícios, mas também levantou preocupações significativas sobre a privacidade dos titulares de dados pessoais. O tratamento e armazenamento de informações em servidores remotos demandam uma abordagem rigorosa para garantir que os dados sejam protegidos contra acessos não autorizados e violações.

A referida norma, datada de 2016, intitulada "Código de Prática para Controles de Segurança da Informação na Nuvem", expande as diretrizes da ISO 27001 para ambientes de computação em nuvem, oferecendo controles específicos para a segurança de informações na nuvem, abordando aspectos cruciais, como a proteção de dados pessoais em serviços de nuvem.

A LGPD e a ISO 27017 compartilham objetivos comuns relacionados à proteção de dados e privacidade, conforme demonstrado abaixo:

1. Ambas enfatizam a necessidade de proteger dados pessoais contra acessos não autorizados, processamentos indevidos e compartilhamentos inadequados. A ISO 27017 fornece diretrizes específicas para a segurança de dados em ambientes de nuvem, alinhando-se com os princípios da LGPD;
2. A LGPD destaca a importância da transparência e do controle sobre os dados pessoais. A ISO 27017, por sua vez, aborda a transparência nas práticas de processamento de dados na nuvem, fornecendo controles que podem ser implementados para permitir maior visibilidade e controle aos titulares dos dados;
3. Ambas incentivam a implementação de medidas técnicas e organizacionais para garantir a segurança dos dados e das informações. A ISO 27017 oferece controles específicos adaptados a ambientes de nuvem, enquanto a LGPD destaca a necessidade de boas práticas de segurança.

Dispõe o artigo 50 da LGPD: "Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais". A formulação das referidas regras será imprescindível para a eficácia e conformidade com a LGPD.

A computação em nuvem oferece uma série de benefícios em termos de escalabilidade, flexibilidade e eficiência operacional, mas também introduz desafios significativos relacionados à privacidade, o que demanda a adoção de boas práticas, como por exemplo:

• Conscientizar todos os colaboradores sobre o tema;
• Fazer avaliações de riscos;
• Elaborar uma política consistente de retenção e descarte de dados;
• Escolher provedores de serviços em nuvem confiáveis;
• Firmar contratos claros, incluindo acordo de nível de serviço (SLA);
• Utilizar criptografia adequada;
• Fazer backup das informações;
• Realizar monitoria e auditoria constantes.

A conformidade conjunta com a LGPD e a ISO 27017 traz diversos benefícios, como segue:

1. Conformidade legal: A conformidade com ambas as regulamentações ajuda as organizações a atenderem aos requisitos legais relacionados à privacidade e segurança de dados e informações;
2. Fortalecimento da segurança em nuvem: A implementação da ISO 27017 contribui para a melhoria das práticas de segurança em ambientes de nuvem, alinhando-se aos requisitos específicos da LGPD;
3. Foco em prevenção: A conformidade com ambas as regulamentações melhora a postura de segurança da informação da organização, reduzindo os riscos de incidentes de segurança e violações de dados pessoais;
4. Credibilidade e confiança: O comprometimento com padrões internacionais de segurança, como a ISO 27017, aumenta a credibilidade da organização perante os clientes e partes interessadas, gerando confiança em relação ao tratamento adequado dos dados pessoais.

É de suma importância pensar preventivamente, quando tratamos sobre computação em nuvem, levando em consideração, também, a ocorrência de transferências internacionais de dados pessoais realizadas e as formas de fazê-las de forma segura.

A conformidade conjunta da LGPD e da ISO 27017 não apenas atende aos requisitos legais, mas também reforça a segurança na nuvem, promovendo boas práticas de privacidade e fortalecendo a relação de confiança com os titulares de dados e as partes interessadas.

Sabendo que privacidade e proteção de dados pessoais são fundamentais em um mundo digitalizado, incluir a aplicação da ISO 27017 oferece uma abordagem abrangente para fortalecer a segurança da informação na nuvem, com foco especial na proteção de dados pessoais. Em um cenário em constante evolução, a mencionada ISO é uma ferramenta valiosa na busca por práticas de segurança da informação robustas e eficazes.