Skip links

A conexão entre a ISO/IEC 27001 e o RGPD

Tânia Machado de Almeida, TMT Lawyer
Data Protection Officer (DPO), Strongstep

 

Com a entrada em vigor do Regulamento Geral sobre a Protecção de Dados (UE) 2016/679 no passado dia 25 de Maio, muitas organizações questionaram-se como iriam implementar o Regulamento e evitar a aplicação de coimas (até 20 milhões de euros ou até 4% do volume de negócios mundial anual total da empresa) o que poderia ter um impacto financeiro muito levado no seu negócio.

Em contraponto, no ano de 2016 e de acordo com a International Organization for Standardization, ou Organização Internacional para a Padronização, mais de 33,000 organizações a nível global alcançaram a certificação ISO/IEC 27001, relacionada com segurança de informação. Ora questionamos o que poderá o Regulamento e um referencial de boas práticas ter em comum e como poderão as empresas certificadas ISO/ IEC 27001 ter vantagens na implementação do RGPD.

Ambos documentos possuem um conjunto de requisitos comuns, o que facilita a implementação do RGPD ou por seu turno a ISO/IEC 27001. Para tal identificamos cinco áreas que partilham a mesma filosofia. De realçar em traços gerais o que as distingue, a ISO/ IEC 27001 é uma norma relativa aos sistemas de gestão, dedicada à segurança da informação. Trata-se de uma norma reconhecida internacionalmente, que define as melhores práticas para gerir riscos relacionados com a segurança da informação.

O Regulamento Geral Sobre a Protecção de Dados alterou o paradigma de regulação em matéria de protecção de dados pessoais consagrando novos direitos para as pessoas singulares e novas obrigações para as empresas, adicionalmente criou a figura do Encarregado de Protecção de Dados.

Como referido anteriormente destacamos cinco pontos em comum:

  1. Classificação de dadosÉ requisito da norma ISO / IEC 27001 que a informação seja classificada em termos da sua importância, e dado um nível adequado de proteção de acordo com esta. Neste contexto, os dados pessoais devem ser tratados de uma forma que garante a segurança apropriada, tal como o regulamento exige, nos termos dos arts. 9.º e 30.º do diploma legal.
  2. Notificações e Cooperação com as autoridades de controloA norma ISO / IEC 27001 exige um processo de gestão de incidentes, para que os eventos de segurança da informação sejam documentados e relatados através dos canais de gestão adequadas o mais rápido possível, e exige que “os contactos adequados com as autoridades competentes sejam mantidos.” Já o RGPD no seu art.º 33.º contempla a notificação de uma violação de dados pessoais à autoridade de controlo (CNPD) no prazo de 72 horas, após deteção da violação, e requer que as organizações cooperem com as autoridades, na óptica de um sistema auto-regulado.
  3. Gestão de ativosSegundo a norma deve ser efetuado um levantamento e identificação dos ativos da organização e definidas responsabilidades – quem detém os ativos e qual é de uso aceitável dos mesmos. Em termos do regulamento, este exige que se identifiquem os dados pessoais recolhidos, como são obtidos, onde são armazenados, por quanto tempo são mantidos e quem a eles tem acesso, art.º 5.º do RGPD.
  4. Protecção dos Dados desde a concepçãoA segurança da informação, segundo a norma ISO / IEC 27001, deve ser concebida e implementada como parte integrante de todo o ciclo de vida de desenvolvimento de sistemas de informação. Já o regulamento requer que sejam integradas salvaguardas desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por pré-definição).
  5. Registo de actividades de tratamentoAmbos os referenciais exigem que sejam documentados aspetos fundamentais do processamento da informação – em função da complexidade dos processos, no caso da norma, ou identificando os dados pessoais recolhidos, os fins para os quais recolhidos e o seu processamento, por exemplo, no caso RGPD.Os pontos comuns entre ambos, não se esgotam nos supra referidos. A formação e sensibilização, por exemplo, são requisitos fundamentais em ambos os casos, e a norma apenas por si só não considera todos os requisitos específicos do regulamento, como por exemplo o consentimento explicito, o direito ao “esquecimento” ou a nomeação do DPO [Data Protection Officer]. No entanto a norma ISO / IEC 27001 é um excelente referencial, internacionalmente reconhecido, que demonstra o comprometimento da organização com a segurança da informação e privacidade.Em suma, as organizações certificadas na ISO/IEC 27001 possuem um papel competitivo no actual paradigma de protecção dos dados. Representam um acréscimo de segurança relativamente aos responsáveis pelo tratamento de dados pessoais que partilham dados, por exemplo, no âmbito da execução de um contrato de fornecimento em que existe partilha de dados pessoais. A mais disso, estas organizações possuem profissionais especialistas em segurança que estarão mais bem preparados para trabalhar com os profissionais da privacidade, implementando o RGPD internamente, recorrendo ao Regulamento, completando com os controles da norma. A segurança da informação é muito adequada para a privacidade, mas, não basta uma organização estar certificada segundo a norma ISO/IEC 27001 para estar conforme os requisitos da privacidade do RGPD. Certifique a sua organização e torne-se competitivo num mundo global.
Return to top of page