Com a entrada em vigor, no próximo dia 25 de maio de 2018, do novo RGPD - Regulamento Geral de Proteção de Dados [EU 2016/679], muitas organizações se questionam: Como implementar o regulamento? Como posso preparar a minha organização?
Já conhece a norma ISO/IEC 27001?
Trata-se de uma norma relativa aos Sistemas de Gestão (tal como a norma ISO 9001 no caso da Qualidade), mas dedicada à Segurança da Informação. É uma norma reconhecida internacionalmente, que define o quadro de melhores práticas para gerir os riscos relacionados com a segurança da informação, incluindo os relacionados a informações pessoais e privacidade. Uma entidade que implemente esta norma pode certificar-se, evidenciando desta forma o seu compromisso com a segurança da informação, com o cumprimento da legislação, com a proteção da informação, incluindo dados pessoais.
Qual é a relação entre a ISO / IEC 27001 e o RGPD?
Ambos os documentos possuem um conjunto de requisitos comuns, o que facilita a implementação conjunta. De entre estes salientamos:
Avaliação de risco
As multas previstas em caso de incumprimento do RGPD (até 20 milhões de euros ou até 4% do volume de negócios mundial anual total da empresa-mãe) pode ter um impacto financeiro muito alto sobre o seu negócio. ISO / IEC 27001 requer uma avaliação de risco na qual se deve considerar o aumento do risco relacionado com as informações pessoais e as suas implicações financeiras.
Conformidade Legal
É uma parte integrante da norma ISO / IEC 27001 a exigência do cumprimento das exigências legais, regulamentares e contratuais.
Classificação de dados
É requisito da norma ISO / IEC 27001 que a informação seja classificada em termos da sua importância, e dado um nível adequado de proteção de acordo com esta. Neste contexto, os dados pessoais devem ser tratados de uma forma que garante a segurança apropriada, tal como o regulamento exige.
Notificações e Cooperação com as autoridades
A norma ISO / IEC 27001 exige um processo de gestão de incidentes, para que os eventos de segurança da informação sejam documentados e relatados através dos canais de gestão adequadas o mais rápido possível, e exige que "os contactos adequados com as autoridades competentes sejam mantidos." Já o RGPD requer quer sejam alertadas as autoridades de supervisão no prazo de 72 horas, e requer que as organizações cooperem com as autoridades.
Gestão de ativos
Segundo a norma deve ser efetuado um levantamento e identificação dos ativos da organização e definidas responsabilidades - quem detém os ativos e qual é de uso aceitável dos mesmos. Em termos do regulamento, este exige que se identifiquem os dados pessoais recolhidos, como são obtidos, onde são armazenados, por quanto tempo são mantidos e quem a eles tem acesso.
Proteção integrada
A segurança da informação, segundo a norma ISO / IEC 27001, deve ser concebida e implementada como parte integrante de todo o ciclo de vida de desenvolvimento de sistemas de informação. Já o regulamento requer que sejam integradas salvaguardas desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por pré-definição)
Relacionamento com Fornecedores
Se a norma ISO / IEC 27001 exige a proteção dos ativos da empresa acessíveis por parte dos fornecedores e monitoriza-los relativamente aos requisitos de segurança da informação. Já o RGPD, que também se aplica aos prestadores de serviços subcontratados (que processam dados pessoais em nome de terceiros) exige que devem ser definidos controles e restrições através de acordos formais.
Documentação
Ambos os referenciais exigem que sejam documentados aspetos fundamentais do processamento da informação – em função da complexidade dos processos, no caso da norma, ou identificando os dados pessoais recolhidos, os fins para os quais recolhidos e o seu processamento, por exemplo, no caso RGPD.
Os pontos comuns entre ambos os documentos não se esgotam nos acima referidos. A formação e sensibilização, por exemplo, são requisitos fundamentais em ambos os casos, e a norma apenas por si só não considera todos os requisitos específicos do regulamento, como por exemplo o consentimento explicito, o direito ao “esquecimento” ou a nomeação do DPO [Data Protection Officer]. No entanto a norma ISO / IEC 27001 é um excelente referencial, internacionalmente reconhecido, como demonstração do comprometimento com a segurança da informação e privacidade.
Se pretende simplesmente adaptar a sua organização ao novo regulamento, ou se pretende ir um pouco mais além e implementar um Sistema de Gestão da Segurança de Informação, contacte-nos.
Estamos aqui para o ajudar.