No mundo atual, as empresas têm a responsabilidade de garantir a privacidade e segurança dos dados de seus clientes e colaboradores. Com a criação da Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil desde 2020, é fundamental que as empresas estejam em conformidade com as normas e regulamentos para coletar, armazenar e utilizar dados pessoais de forma ética e transparente, evitando sanções e penalidades legais.

Nesse sentido, a ABNT NBR ISO/IEC 27701 é uma norma essencial, pois expande os requisitos e diretrizes já estabelecidos à segurança da informação, para incluir a proteção da privacidade dos titulares de dados pessoais.

Neste artigo, vamos abordar o que é a ABNT NBR ISO/IEC 27701, a sua importância para as empresas e como implementá-la. Acompanhe este conteúdo e aprenda como garantir a segurança dos dados pessoais e melhorar a segurança da informação na organização.

O que é a ISO/IEC 27701?

A ABNT NBR ISO/IEC 27701:2019 é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à norma internacional ISO/IEC 27701:2019. 

A ABNT NBR ISO/IEC 27701 especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, as quais contribuem para implementação de um Sistema de Gestão de Segurança da Informação (SGSI), considerando a gestão da privacidade dentro do contexto da organização. 

Esta norma fornece as diretrizes para toda organização que atue como controlador e/ou operador de Dados Pessoais (DP), incluindo aqueles que usam operadores de DP subcontratados e aqueles que tratam DP ao atuar como subcontratados de operadores de DP. 

Por que a ISO/IEC 27701 é importante para as empresas?

A conformidade com a ISO/IEC 27701 ajuda as organizações a comprovar, por consequência, sua conformidade com a Lei Geral de Proteção de Dados (LGPD) e a General Data Protection Regulation (GDPR), regulamento internacional sobre privacidade e proteção de dados pessoais, aprovado na União Europeia em 2016 e usado como referência para a criação da LGPD.

Esta conformidade apresenta uma série de benefícios, tais como:

– Ter um Sistema de Gestão de Segurança da Informação e Privacidade implementado aumenta a credibilidade em relação à proteção das informações, seja pessoal ou não, para o serviço prestado aos clientes. 

– Maior credibilidade e reconhecimento no mercado global, visto que a certificação é um reconhecimento que a organização atende requisitos e diretrizes de segurança da informação e privacidade.

– Evitar advertências, bloqueios e multas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), que é responsável por fiscalizar o cumprimento da LGPD.

– Redução de tempo dedicados às inúmeras avaliações de Segurança da Informação e Privacidade recebidas de clientes, pois basta comprovar que é certificada para assegurar sua conformidade. 

– Diferencial de mercado, pois atualmente existem no Brasil cerca de 165 empresas certificadas em ISO/IEC 2700, segundo site da ISO (dados até 2021). Então, entende-se que o número de empresas certificadas também em ISO/IEC 27701 no Brasil é ainda menor.

A Jornada de Certificação ISO/IEC 27701

Como as empresas podem obter a certificação ISO 27701, incluindo os critérios para a certificação, bem como o processo de auditoria?

Primeiro, a organização deve possuir um Sistema de Gestão de Segurança da Informação implementado, ou seja, ser certificada na ISO/IEC 27001, visto que a ISO/IEC 27701 é uma extensão da norma, onde é inclusa a privacidade da informação.

As seguintes fases são contempladas: 

1. Planejamento: Nesta fase, todo o planejamento do projeto é elaborado, incluindo, a identificação dos dados pessoais, bem como uma avaliação da maturidade em Segurança da informação e Privacidade.
   
2. Desenvolvimento: Nesta fase, entra a execução das atividades planejadas, como, por exemplo, os requisitos e diretrizes de Segurança da Informação e Privacidade, seja para o Controlador quanto para o Operador de Dados Pessoais (DPO).
   
3. Avaliação: Nesta fase os processos criados são verificados, como, por exemplo, através da realização da auditoria interna. 
   
4. Melhoria: Nesta fase, todo processo detectado com uma oportunidade de melhoria ou não conformidade é ajustado.

Logo, após a implementação de um SGPI, chega o momento da Auditoria Externa. A primeira auditoria é chamada de avaliação de certificação, dividida em duas fases: a primeira sobre as documentações do sistema de gestão criadas, já a segunda fase trata da verificação dos processos implementados. Nos dois anos seguintes, as próximas duas auditorias são conhecidas como de manutenção. No terceiro ano, a auditoria é conhecida como de recertificação.

Conquiste a certificação ISO/IEC 27701 e aumente a confiabilidade de sua empresa no mercado

Como vimos, a certificação ISO/IEC 27701 ratifica ao mercado, que a organização possui uma gestão de segurança e privacidade adequada, permitindo o aumento da confiança do cliente e a conformidade com as regulamentações de proteção de dados.

Então, quer se certificar? A Clavis, uma empresa certificada em ISO/IEC 27001 e ISO/IEC 27701 é a melhor escolha para apoiá-lo nessa jornada. O serviço de consultoria da Clavis segue os padrões internacionais e auxiliam empresas de todos os portes, em todas as etapas dessa jornada. A metodologia utilizada contempla as seguintes fases:

1. Análise do ambiente atual do cliente, identificando pessoas, processos e tecnologias que compõe a cadeia de valor da empresa e apontando possíveis vulnerabilidades.
   
2. Elaboração de um plano de ação, com sugestões e ações para corrigir as vulnerabilidades identificadas e prevenir futuros riscos.
   
3. Treinamento técnico de colaboradores responsáveis pelas rotinas de proteção e monitoração das tecnologias e processos essenciais ao negócio.
   
4. Conscientização de todos os colaboradores, através de palestras e outras dinâmicas, a fim de estabelecer e fortalecer uma cultura de segurança nas pessoas que fazem a empresa funcionar. 
   
5. Avaliação final de segurança, onde se é testado tanto os controles tecnológicos, quanto as pessoas e os processos e comprovar os avanços da empresa.

Acesse o site da Clavis para saber mais sobre os serviços e solicitar o contato de um especialista.