Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Norma ISO/IEC 27701: padrão internacional de privacidade

A norma ISO/IEC 27001 auxilia as organizações a adotar um modelo adequado de gestão da privacidade e proteção de dados.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

A ISO/IEC 27701 foi lançada em 6 de agosto de 2019 pela Organização Internacional de Padronização (ISO), como uma extensão de privacidade das normas de segurança da informação ISO/IEC 27001 e ISO/IEC 27002.

Enquanto as referidas normas tratam do SGSI (Sistema de Gerenciamento de Segurança da Informação) e dos seus controles de segurança, a ISO/IEC 27701 se concentra em novos requisitos e controles, juntamente com orientações de implementação, manutenção e melhoria contínua de sistemas de gestão de proteção de dados pessoais e privacidade (PIMS – Privacy Information Management System).

Implementar um sistema de gestão de segurança da informação é um elemento importante para as organizações que buscam a conformidade com as leis de proteção de dados, mas isso não é suficiente. A norma ISO/IEC 27701 auxilia as organizações a adotar um modelo adequado de gestão da privacidade e proteção de dados, o que envolve outros requisitos, que vão além da segurança da informação.

Com a ISO 27701 foi estabelecida uma nova estrutura de certificação, no âmbito da International Standardization Organization, para demonstração da conformidade com os regulamentos de privacidade e proteção de dados. Como a recente norma foi projetada como sendo uma extensão da ISO 27001, a organização precisa ter a certificação ISO 27001.

Certamente, muitas empresas incluirão obrigações contratuais exigindo que alguns dos seus fornecedores que lidam com dados pessoais sejam certificadas na ISO/IEC 27701. Evidentemente, não se espera que as organizações adotem todos os controles, mas somente aqueles apropriados às suas atividades de tratamento de dados pessoais.

A norma já está disponível em português e pode ser comprada pelo site da ABNT.

ISO/IEC 27701:2019
Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.