A perspetiva da Cyber Academy
ISO 27701 é a extensão de gestão de informações de privacidade ao ISO 27001. Acrescenta obrigações de responsável pelo tratamento e subcontratante ao ISMS. Útil para organizações que pretendem um sistema de gestão único e certificável, cobrindo tanto a segurança como a privacidade. Articula-se com o GDPR, mas não «substitui» o trabalho de conformidade com o GDPR.
Uma extensão, não uma norma autónoma
A ISO/IEC 27701 não se sustenta por si só. É concebida como uma extensão da ISO/IEC 27001 e da ISO/IEC 27002, o que significa que não pode certificar-se nela sem dispor previamente de um sistema de gestão da segurança da informação (SGSI) em funcionamento. A norma toma os controlos de segurança que já opera e sobrepõe-lhes requisitos e orientações específicos de privacidade, transformando o SGSI num Sistema de Gestão de Informação de Privacidade (PIMS). Para uma organização que já opera a ISO 27001, este é um passo eficiente: reutiliza a mesma governação, a mesma metodologia de risco, o mesmo ciclo de auditoria, e estende o âmbito para cobrir o tratamento de dados pessoais identificáveis (PII).
Essa escolha arquitetural é o ponto central. Em vez de gerir a privacidade como um programa separado com os seus próprios comités e as suas próprias evidências, a ISO 27701 permite-lhe certificar um único sistema de gestão que cobre tanto a segurança como a privacidade. A Declaração de Aplicabilidade é alargada, a avaliação de risco passa agora a considerar o risco de privacidade para as pessoas e não apenas o risco para a organização, e o mesmo organismo de certificação audita o conjunto numa única missão.
Obrigações do responsável pelo tratamento e do subcontratante
A ISO 27701 reparte os seus requisitos adicionais ao longo da mesma linha que a legislação de proteção de dados traça: entre a organização que atua como responsável pelo tratamento (decidindo porquê e como os PII são tratados) e a organização que atua como subcontratante (tratando PII por conta de outrem). Muitas organizações são ambas ao mesmo tempo, consoante o conjunto de dados, pelo que a norma lhe fornece dois conjuntos de orientações e pede-lhe que aplique aquele que se adequa a cada atividade de tratamento.
- Os temas do lado do responsável pelo tratamento incluem a base legal e a finalidade, o consentimento e a escolha, a transparência para com as pessoas, o tratamento dos pedidos dos titulares dos dados, os registos de tratamento, e as obrigações quando partilha PII com terceiros.
- Os temas do lado do subcontratante incluem agir apenas com base em instruções documentadas, apoiar o responsável pelo tratamento nas suas obrigações, gerir os subcontratantes ulteriores, e devolver ou apagar os PII no termo de um contrato.
Na prática, é o que uma equipa de privacidade já faz no âmbito dos regimes modernos de proteção de dados, mas a ISO 27701 organiza-o em controlos auditáveis com evidência documentada, que é precisamente o que transforma uma postura de privacidade em algo que um terceiro pode verificar.
Onde se situa junto ao GDPR
A leitura errada mais comum é a de que a certificação ISO 27701 o torna conforme com o GDPR. Não torna, e tem o cuidado de não o afirmar. O GDPR é lei e a ISO 27701 é uma norma de sistema de gestão voluntária. O que a 27701 lhe dá é um quadro estruturado e certificável cujos controlos se mapeiam estreitamente nos princípios de proteção de dados, pelo que constitui uma prova sólida de responsabilização (accountability) e uma boa espinha dorsal operacional. Mas a conformidade com um regime jurídico específico continua a exigir a sua própria análise jurídica, os seus registos, e o seu tratamento demonstrável dos direitos individuais ao abrigo dessa lei.
| Dimensão | ISO/IEC 27701 | GDPR |
|---|---|---|
| Natureza | Norma de sistema de gestão voluntária | Direito vinculativo da UE |
| O que produz | Um PIMS certificável | Obrigações legais e direitos individuais |
| Construída sobre | ISO 27001 / ISO 27002 | Princípios de proteção de dados |
| Verificada por | Organismo de certificação acreditado | Autoridades de controlo e tribunais |
| Relação | Mapeia-se na conformidade e apoia-a | A obrigação que a 27701 o ajuda a cumprir |
A forma limpa de a operar é ancorar a privacidade no mesmo SGSI que utiliza para a segurança, certificar o sistema combinado à ISO 27001 mais ISO 27701, e manter o seu encarregado da proteção de dados e a sua equipa jurídica como donos da própria lei. A norma trata da disciplina operacional; eles tratam da interpretação.
Frequently asked questions
01Posso certificar-me na ISO 27701 sem a ISO 27001?
Não. A ISO 27701 é uma extensão que exige um SGSI ISO 27001 certificado, ou certificado em simultâneo, como fundação. Estende o sistema de gestão existente para um sistema de gestão de informação de privacidade em vez de construir um separado.
02A ISO 27701 torna a minha organização conforme com o GDPR?
Não. É uma norma voluntária cujos controlos se mapeiam estreitamente nos princípios de proteção de dados, pelo que constitui uma prova sólida de responsabilização. A conformidade efetiva com o GDPR continua a exigir a sua própria análise jurídica, os seus registos, e o seu tratamento dos direitos individuais.
03O que é um PIMS?
Um Sistema de Gestão de Informação de Privacidade é o que se obtém quando a ISO 27701 estende um SGSI ISO 27001 para cobrir a proteção de dados pessoais identificáveis, acrescentando os requisitos do responsável pelo tratamento e do subcontratante aos controlos de segurança já existentes.
04A ISO 27701 cobre tanto os responsáveis pelo tratamento como os subcontratantes?
Sim. Fornece orientações separadas para as organizações que atuam como responsáveis pelo tratamento de PII e como subcontratantes de PII, e aplica o conjunto que se adequa a cada atividade de tratamento. Muitas organizações são ambas consoante o conjunto de dados.
05Como é que a ISO 27701 se relaciona com o papel do DPO?
São complementares. A ISO 27701 fornece o sistema de gestão e os controlos auditáveis, ao passo que o encarregado da proteção de dados é dono da interpretação da lei, do aconselhamento, e da relação com as autoridades de controlo. A norma torna o trabalho do DPO repetível e documentado.