ISO 27001 e LGPD

Com a LGPD, empresas terão que promover mudanças na captação e utilização de dados pessoais. A ISO 27001 é um caminho que, além de garantir a segurança das informações, certifica a companhia em padrões internacionais. Veja os diferenciais.

Em tempos de digitalização acentuada em todos os aspectos da nossa vida, com mais e mais atividades online, desde estudar até fazer compras, o fornecimento e o compartilhamento de dados tornou-se inevitável. É quase impossível viver em sociedade, hoje, sem compartilhar na internet informações como nome, endereço, e-mail, RG, CPF, telefone, número de cartão de crédito e muitas outras. Com a pandemia do novo coronavírus, então, explodiu o uso de aplicativos e softwares de reunião e de compras online, só para citar dois exemplos que exigem fornecimento de dados dos usuários.

Nesse contexto, as empresas dependem cada vez mais da coleta e utilização dos dados dos consumidores, clientes e prospects para se comunicar com eles, segmentar, personalizar e dar um atendimento sob medida, especialmente nos canais digitais. Para isso, coletam, armazenam e utilizam dados dessas pessoas para cadastro e interação. Quem nunca ouviu falar do “funil de vendas”, técnica de atração e retenção de clientes utilizada no marketing digital para converter os visitantes do site em clientes efetivos?

A chegada da LGPD

Desde setembro de 2020, está em vigor a Lei Geral de Proteção de Dados (LGPD), ou Lei nº 13.709, que regula as etapas de coleta, uso, proteção e transferência de dados pessoais. O objetivo é regulamentar o uso de dados dos cidadãos pelas empresas, para que os brasileiros tenham mais segurança e controle sobre suas próprias informações, conforme já ocorre em outros países. Entre outros aspectos, a LGPD exige que a empresa diga para que os dados serão utilizados, prevê o consentimento por parte do titular e o uso para finalidades legítimas. O usuário poderá também solicitar sua exclusão das bases de dados de empresas com as quais não quer mais se relacionar.

Com a nova lei, as empresas vão precisar criar um comitê de segurança, padronizar fluxos de trabalho e controlar o acesso aos dados, entre outras medidas. Deverão ser mais responsáveis e avaliar muito bem antes de solicitar qualquer informação do usuário, sendo transparentes ao máximo. Por isso, o ideal é minimizar a quantidade de dados solicitada, trabalhando apenas com as informações necessárias.

Quem vai regulamentar e fiscalizar a nova lei é a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal criado em 2019 que vai poder multar, quando for o caso. As multas, entretanto, só serão aplicadas a partir de agosto de 2021, então as empresas têm alguns meses para ajustarem seus processos, ferramentas e relações comerciais.
Saiba mais sobre a LGPD e seus impactos: https://www.qualityway.com.br/lgpd-norma-vigencia-impactos/

Certificação ISO 27001 e LGPD

Para guiar as empresas no processo de adequação à LGPD, existem duas certificações: as normas ISO 27001 (Sistema de Gestão de Segurança da Informação) e a 27701 (Sistema de Gestão de Segurança Privada). A Especialista em Sistemas de Gestão Silvana Ponce explica: “a ISO 27001 estabelece a preservação da confidencialidade, integridade e disponibilidade da informação e dos recursos de processamento das informações associadas aos sistemas, serviços, infraestrutura lógica ou física, reduzindo o impacto dos incidentes de segurança. A ISO 27701 define requisitos adicionais e fornece orientações recomendadas para a proteção da privacidade, permitindo que a organização amplie seu sistema de gestão de segurança da informação (SGSI) para proteger informações pessoais”.

Para as empresas que buscam conformidade com a LGPD, a norma ISO 27001 é um ponto de partida, pois traz os processos básicos de segurança da informação, permitindo que a organização revise, gerencie e trate continuamente os riscos de segurança de forma adequada, inclusive os relacionados a dados pessoais. Combinada com a ISO 27701, o projeto torna-se completo, já que esta traz as regras e processos específicos para o tratamento da privacidade dos dados, que é o foco da LGPD.

Principais benefícios da ISO 27701

  • Fácil integração com o SGSI, exigido pela ISO 27001;
  • Demonstra o cuidado da empresa com dados de clientes, funcionários e fornecedores;
  • Conformidade com as principais exigências da LGPD;
  • Envolvimento e responsabilidade dos colaboradores em relação a segurança e privacidade de dados;
  • Redução dos riscos de vazamentos de informações;
  • Transparência na gestão da privacidade e tratamento de dados;
  • Aumento da segurança e confiança dos parceiros de negócio.

Implantação

O ideal é implantar as duas normas em conjunto, iniciando pela 27001 e depois a 27701, começando com um diagnóstico para identificar o nível de atendimento às exigências de cada uma. “Ao atender os requisitos da ISO 27001, sua organização precisará apenas complementar com as cláusulas específicas da 27701. A integração do sistema de gestão fará com que os processos sejam feitos em conjunto, reduzindo tempo de implantação e de auditorias”, explica Silvana.

O próximo passo é a capacitação da equipe por meio de treinamentos, de acordo com a implementação das práticas exigidas, juntamente com a adequação dos processos e ferramentas. Depois disso, você pode contratar uma instituição avaliadora para providenciar a certificação das duas normas na mesma auditoria. Para Silvana, o comprometimento e liderança da alta direção é fundamental para o sucesso do projeto, para garantir recursos e promover o envolvimento e a conscientização de todos os envolvidos no processo.

As etapas de implementação dessas normas, de maneira geral, envolvem um estudo do contexto da organização, quais suas características e necessidades, políticas e objetivos em relação à segurança da informação, seguida de avaliação de riscos, e implantação de controles para eliminar ou reduzir a classificação desses riscos. Por fim, é feita uma análise da eficácia e desempenho dos controles realizados, e monitoramento para melhoria contínua. Na prática, a implantação das normas vai avaliar inúmeros aspectos relativos à segurança da informação na sua empresa, como gestão de ativos, controles de acesso, criptografia, proteção contra malware, cópias de segurança, gestão de vulnerabilidade, gestão de incidentes e requisitos legais, entre muitos outros.

A Quality Way tem uma metodologia bastante objetiva para fazer um diagnóstico da sua empresa em relação aos requisitos das normas ISO 27001 e ISO 27701, com propostas de ações emergenciais e de médio prazo. Saiba mais: https://www.qualityway.com.br/lgpd/

Assuntos Relacionados