ISO 27701: Como garantir a privacidade e impulsionar a confiança do seu negócio

ISO 27701: Como garantir a privacidade e impulsionar a confiança do seu negócio

Publicado em:
03
/
10
/
2024

O que é ISO 27701?

A proteção de dados pessoais é uma preocupação cada vez mais recorrente no dia a dia das pessoas. Afinal, mais parcelas do cotidiano estão se tornando digitais, gerando informações recorrentes sobre nossos hábitos, preferências e tendências. Neste cenário, fornecer um serviço digital com alto grau de confiança e controles adequados de privacidade é um diferencial de mercado muito relevante. 

Uma das formas de atestar este grau de maturidade dos programas de privacidade é a certificação da ISO 27701. 

A ISO, sigla em inglês de “Organização Internacional para Padronização", é uma entidade que define padrões e normas com requisitos comuns e processos voltados à melhoria contínua de qualidade e segurança de diversos produtos e serviços. Dessa forma, a ISO é uma referência global, que facilita as trocas transnacionais, demonstrando um compromisso das organizações certificadas com a qualidade dos serviços epermitindo a otimização de processos e aumento da segurança.    

A Norma ISO 27701, como uma extensão¹ da ISO 27001 (Sistema de Gestão da Segurança da Informação), foi publicada no ano de 2019. Esta extensão de privacidade oferece um framework - ou seja, um conjunto de requisitos e controles específicos - para que as organizações realizem a gestão da privacidade, com capacidade de identificar, gerenciar e proteger dados pessoais. Como consequência, pode-se afirmar que uma organização certificada pela ISO possui estrutura para atender aos requisitos legais da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, “LGPD”) no Brasil e o GDPR (General Data Protection Regulation) na União Europeia. 

Quais são os principais requisitos e controles da ISO 27701?

Todas as normas da ISO possuem a mesma estrutura, dividida entre requisitos e controles. É possível dizer que os requisitos indicam as obrigações e os controles indicam as medidas e práticas para que os requisitos sejam cumpridos. Cumprir tanto os requisitos quanto os controles aplicáveis à organização (ainda que de forma adaptada ao contexto) é obrigatório para conquistar a certificação, já que os itens são complementares. 

Por ser uma extensão, os requisitos da ISO 27701 replicam vários dos requisitos da ISO 27001, adaptando-os para a proteção dos dados pessoais. Por exemplo, é necessário que a organização realize a publicação e manutenção de um programa gerencial de privacidade, que atenda às leis aplicáveis (como a LGPD, no contexto brasileiro) e que identifique (i) as partes interessadas no programa (como os titulares de dados pessoais); (ii) os objetivos; (iii) as políticas relacionadas; (iv) as responsabilidades das pessoas envolvidas, como do Encarregado de Dados Pessoais; (v) melhorias contínuas, entre outros tópicos.    

Já os controles, dispostos nos anexos da Norma, estão separados de acordo com a posição da organização enquanto agente de tratamento. Ou seja, há controles para operadores e controles para controladores de dados pessoais².

Ambos grupos de controles abordam os seguintes tópicos:

  • Condições para coleta e tratamento de dados pessoais: identificação da finalidade e das bases legais para o tratamento; definição de regras para obtenção e registro do consentimento; avaliação de impacto das atividades; terceiros envolvidos nas atividades, entre outros;
  • Obrigações para os titulares de dados pessoais: processo estabelecido para receber, triar e atender às requisições das pessoas referentes a seus dados;
  • Privacy by Design e Privacy by Default: processos para limitar as atividades de tratamento de dados pessoais ao mínimo necessário para atingir sua finalidade, inclusive excluindo os dados pessoais ao término das atividades de tratamento;
  • Compartilhamento, transferência e divulgação de dados pessoais: regras para lidar com a relação com outros controladores, operadores e/ou suboperadores de dados ou quando for necessário enviar dados pessoais para outros países.

Como obter a certificação?

A certificação na ISO 27701 envolve um processo estruturado e exige um compromisso da organização que se pretende certificar. Embora as etapas possam variar dependendo do negócio, da centralidade dos dados pessoais, do tamanho e da complexidade das atividades da organização, o caminho para a certificação geralmente segue as mesmas fases. 

O primeiro passo é a conscientização: garantir que todos os empregados e a alta liderança saibam do valor da proteção de dados para a organização e dos benefícios trazidos pela certificação. Assim, é importante ter um planejamento para realizar ações de treinamento (como habilitar os empregados a relatar um incidente ou solicitar exercício de direitos de titulares); distribuir pílulas sobre o assunto; e, basicamente, fazer a área de privacidade estar presente para sensibilizar os empregados. 

O passo seguinte é também um dos controles básicos da Norma: identificar as atividades operacionais da organização que tratam dados pessoais. Esta identificação, popularmente conhecida como mapeamento ou data mapping, permite registrar a finalidade, base legal, tipos de dados usados, grupos de titulares afetados, quais são os terceiros envolvidos e as áreas ou setores responsáveis por cada grupo de atividades.   

A partir deste mapeamento, deve ser realizada uma análise para identificar as lacunas entre as práticas da empresa e os requisitos da ISO 27701 e de outras leis aplicáveis (como a LGPD, no contexto brasileiro). Esta análise fornece um diagnóstico para apontar as oportunidades de melhoria e áreas que precisam de ajustes para mitigação de riscos e conformidade com a Norma. 

Ao implementar as melhorias, é interessante contar com a política gerencial de privacidade, citada anteriormente. Esta política funciona como um guia para a proteção dos dados pessoais, dando diretrizes sobre como deve ser feito o tratamento de dados, como são atendidos os direitos dos titulares, quais devem ser as medidas de segurança adotadas e quais são os procedimentos para a notificação de incidentes.

As lacunas identificadas na análise guiam os controles a serem implementados para atender às exigências da ISO 27701. Esses controles podem incluir a gestão de acessos, a criptografia de dados, backups regulares, testes de segurança, gestão de incidentes, entre outros. É interessante implementar estes controles seguindo um plano de ação registrado, pois manter a documentação das atividades realizadas é uma forma da organização se responsabilizar pela proteção dos dados e permitir a prestação de contas.

Depois de implementadas as medidas para adequação das práticas da organização com a ISO, deve ser conduzida uma auditoria interna, antes da auditoria da autoridade certificadora. Esta auditoria interna é um segundo momento de gap analysis, também permitindo verificar se o sistema de gestão está em conformidade com a Norma e outras oportunidades de melhorias. Caso a organização não tenha uma área ou setor dedicado a realizar auditorias internas, é possível contratar uma auditoria independente. Vale dizer que esta etapa é um requisito obrigatório para a certificação. 

Aplicados os controles, feita a auditoria, estabelecido e executado um novo plano de ação, a organização pode buscar a certificação junto a uma autoridade certificadora independente. Esse organismo realizará uma auditoria externa para confirmar que o sistema de gestão da privacidade está conforme os requisitos da ISO 27701.

A Clicksign é a única empresa brasileira do mercado de assinatura eletrônica a ser certificada pela ISO 27701

Confiança é um dos valores da Clicksign, empresa pioneira no mercado de assinatura eletrônica no Brasil. Respeitar e investir na privacidade e na proteção de dados pessoais dos nossos usuários é uma prioridade, que se transformou na jornada da certificação da ISO 27701. 

A partir de uma análise rigorosa dos processos internos e da implementação de todos os controles requeridos pela Norma e pela LGPD, a Clicksign mapeou suas atividades de tratamento de dados pessoais, avaliou e tratou os riscos de privacidade envolvidos no negócio.

O processo de certificação também gerou um ganho na cultura da organização, já que, além dos treinamentos periódicos que os Clicksigners recebem, também são feitas diversas atividades de conscientização.  

A certificação demonstra o compromisso da empresa com a privacidade de nossos usuários e otimizou os controles internos, reduzindo os riscos de suas atividades e garantindo um nível de confiança elevado. 

Conclusão

Decidir-se pela certificação impõe um trabalho conjunto de diversas áreas da empresa, porém, obter a certificação da ISO 27701 é um investimento, especialmente para empresas de tecnologia que prezam pela segurança, proteção de dados e pela confiança de seus usuários. 

Afinal, a certificação demonstra um compromisso inegável da organização com a privacidade dos usuários, já que impõe uma estrutura de gestão, com análises de risco, envolvimento da alta liderança, treinamentos periódicos e melhorias contínuas. 

–––––––––––––––––––––

¹ No contexto das Normas da ISO, uma extensão significa especificações ou adaptações de regras em um contexto específico. No caso citado, a ISO 27701 de privacidade está conectada à ISO 27001 de segurança da informação.

² A Norma não possui uma definição particular para controlador e operador, apoiando-se nos conceitos jurídicos da LGPD. De acordo com a legislação, o controlador é aquele que determina os propósitos e formas do tratamento de dados pessoais enquanto o operador realiza o tratamento de dados pessoais em nome do controlador. 

Ready to get started?

Try it free for 14 days and see how Clicksign can change the way you do business!

Tela do App Clicksign
Promoção Click50

Modernize e expanda seu negócio aproveitando os descontos exclusivos nos planos de 50 documentos.