Escolar Documentos
Profissional Documentos
Cultura Documentos
Introdução
A digitalização, globalização e personalização dos serviços, desde a marcação de uma consulta médica até o
serviço bancário pela Internet, levaram a uma maior recolha e processamento de informações pessoais do
que nunca antes. E esta tendência está crescendo à medida que surgem oportunidades para novos serviços,
e novos intervenientes entram no mercado.
Existem agora tantas plataformas diferentes que as pessoas utilizam Dentro da Europa, a introdução do Regulamento Geral de
como parte da sua rotina diária onde são recolhidas informações Proteção de Dados (GDPR) proporciona uma harmonização
pessoais, tais como o crescimento de aplicativos móveis, esquemas das leis de privacidade de dados que refletem as realidades do
de fidelização, dispositivos conectados e publicidade baseada em mundo digital em que vivemos atualmente.
localização. Isto significa que estamos entregando nossos dados
regularmente sem pensar, criando mais fluxos de dados do que Muitos outros países, como a Coreia, Austrália e China, também
nunca. E quer se trate de sites de encontros, fornecedores de estão criando legislação de proteção de dados. Em antecipação
telecomunicações ou organizações de serviço público, mal passa ao crescente ambiente regulatório e à necessidade de um
um dia quando você olha para as notícias e não vê referência conjunto comum de conceitos para abordar a proteção de
a uma violação de dados onde os registros pessoais foram dados pessoais, a Organização Internacional de Normalização
comprometidos. Isto só tem aumentado o foco nas questões que (ISO) e a Comissão Eletrotécnica Internacional (IEC) tomaram
envolvem o uso indevido de informações pessoais, o que significa a iniciativa de criar normas para fornecer tal orientação. Essas
que as organizações não podem se dar ao luxo de ser complacentes. normas têm o benefício de fornecer estruturas para ajudar
as organizações a demonstrar a proteção de dados pessoais
Uma maior consciência destas questões tem levado a uma e a conformidade da privacidade com diferentes leis em um
crescente preocupação, tanto entre indivíduos como entre cenário regulatório em mudança. A certificação também pode
governos, sobre como os dados pessoais são recolhidos, utilizados ser uma ferramenta útil para que as organizações agreguem
e protegidos; em resposta, alguns governos propuseram ou credibilidade ao seu compromisso com a privacidade e
promulgaram novos regulamentos destinados a fornecer obrigações relacionadas.
orientações e requisitos para o tratamento de dados pessoais.
bsigroup.com
Como a ISO/IEC 27701 ajuda os Controladores IPI Como a ISO/IEC 27701 ajuda os Processadores IPI
• Fornece orientação sobre as melhores práticas • Fornece orientação sobre as melhores práticas
• Proporciona transparência entre os controladores IPI • Dá garantias aos clientes de que o IPI é gerido
eficazmente
• Fornece uma forma eficaz de gerir os processos de IPI
3
Questões de privacidade
Pretende-se que as organizações se certifiquem para a ISO/IEC 27701 como uma extensão do sistema de gestão ISO/IEC 27001. Em
outras palavras, as organizações que pretendem buscar uma certificação ISO/IEC 27701 também precisarão de uma certificação ISO/
IEC 27001. Isso demonstra o compromisso tanto com a segurança da informação quanto com a gestão da privacidade.
Para validar que os controles operacionais adequados da de notificação de violação de dados da GDPR.
norma são implementados de forma consistente e para Mas a norma não contém uma notificação específica de
cumprir os requisitos de conformidade dos regulamentos de 72 horas, como exigido por lei. Para que os profissionais
privacidade relevantes, devem ser tomadas medidas para: demonstrem que a organização implementou um sistema de
gestão que cumpre este requisito particular da GDPR, devem
1. mapear os requisitos regulamentares relevantes em mostrar aos auditores que as organizações têm um processo
relação aos controles das normas uniforme que notificaria as pessoas em causa e os reguladores
2. enumerar os requisitos regulamentares específicos que de privacidade dentro de 72 horas após a confirmação da
ainda não foram totalmente capturados pelos controles violação ou tem um processo para determinar se a violação
padrão e as condições às quais os requisitos se tornam envolve cidadãos europeus ou se o processamento de dados
aplicáveis violado ocorreu na Europa e, em caso afirmativo, acionar a
3. incorporar o acima exposto no processo de avaliação de notificação dentro do prazo exigido.
risco no ciclo de auditoria
O mapeamento da norma em relação aos regulamentos e a
Um bom exemplo a examinar são os controles de enumeração de requisitos regulamentares únicos e condições
gerenciamento de violação de dados na ISO/IEC 27701 e os aplicáveis são os mecanismos necessários para que os
requisitos de notificação de violação (artigo 33) na GDPR. Por controladores e processadores possam utilizar a ISO/IEC 27701
todas as medidas, os controles de gerenciamento de incidentes para verificar a conformidade regulamentar em relação a vários
de segurança da norma mapeiam diretamente com os requisitos regulamentos de privacidade.
5
Privacy matters
Setor da saúde
Como um setor que recolhe algumas das informações pessoais mais sensíveis, as leis de proteção de dados
específicas dos cuidados de saúde são muito proeminentes. Por exemplo, existe o Código de Saúde Pública
francês (artigo L.1111-8) que exige que os prestadores de serviços que hospedam certos tipos de dados de saúde/
médicos sejam acreditados para esta atividade. E o Health Insurance Portability and Accountability Act nos
Estados Unidos estabelece o padrão para a proteção de dados de pacientes sensíveis e exige que os planos de
saúde dos EUA, as câmaras de compensação e os prestadores de cuidados de saúde, ou qualquer organização ou
indivíduo que atue como fornecedor ou subcontratado com acesso a informações pessoais de saúde, cumpram.
É também importante destacar o Mercado Único Digital Facilita o processamento e o comércio transfronteiriço de
Europeu. Esta é uma política, anunciada em 2015, que dados. No entanto, as diferenças nas leis de privacidade
abrange o marketing digital, o comércio eletrônico e as de dados entre os estados membros da Europa foram
telecomunicações. O seu objetivo é abrir oportunidades para reconhecidas como uma barreira para que o Mercado Único
pessoas e empresas, derrubando barreiras existentes. Tem três Digital Europeu fosse um sucesso. Portanto, a introdução da
pilares fundamentais: GDPR para ajudar a harmonizar a privacidade dos dados em
toda a Europa é uma mudança positiva.
• Acesso a produtos e serviços online
• Condições para que as redes e serviços
digitais cresçam e prosperem
• O crescimento da economia digital europeia
bsigroup.com
7
Questões de privacidade
Este sentimento é ecoado pela Agência da União Europeia recomenda que os organismos nacionais de certificação e
para a Segurança de Redes e Informação (ENISA) que publicou as autoridades de supervisão, sob a orientação e apoio da
recentemente recomendações sobre certificação para a GDPR Comissão Europeia e do Conselho Europeu para a Proteção
[ENISA]: Recomendação sobre a Certificação Europeia de de Dados, adotem uma abordagem comum em relação à
Proteção de Dados, Versão 1.0, Novembro de 2017; https:// criação e implementação de mecanismos de certificação GDPR.
www.enisa.europa.eu/publications/recommendations-on- Recomendam também que a abordagem seja escalável e que
european-data-protection-certification]. A ENISA afirma que a utilize critérios aprovados e amplamente adotados. A coerência
certificação, os selos e as marcas têm um papel significativo e harmonização dos mecanismos de certificação em toda
a desempenhar para que os controladores de dados possam a Europa são enfatizadas e a confiabilidade e transparência
alcançar e demonstrar a conformidade das suas operações são reforçadas como traços importantes do processo de
de processamento com as disposições da GDPR. A ENISA certificação.
9
Questões de Privacidade
Figura 3 – Imagem das partes interessadas para certificação baseada na ISO/IEC 27701 (fonte: Microsoft).
Implementar o
SGPIP
Processors
Ajudar a DPA e as autoridades
nacionais de acreditação a executar
os artigos 42 e 43 da GDPR
Consultores
Objetivos comuns Implementar o
SGPIP
• Demonstrar a visibilidade do SGPIP em escala em todo o mercado.
Controllers
• Encorajar a adoção da certificação pan-europeia GDPR.
• Demonstrar ao mercado que os SGPIP
são uma prova abrangente do GDPR.
Conclusões
Para concluir, a gestão de informações pessoais em conformidade com o panorama
regulamentar em evolução é complexa, mas não pode ser ignorada. A proteção das
informações pessoais de um indivíduo é um dos seus direitos humanos fundamentais.
Existem leis em todo o mundo para proteger esses direitos num ambiente onde os
negócios e os dados relacionados à vida pessoal estão se tornando cada vez mais
globalizados. O GDPR europeu foi introduzido para assegurar que a recolha e o
processamento de informações que identificam pessoalmente são conduzidos de forma
legal e apoia os fluxos de dados transfronteiriços necessários para permitir o Mercado
Único Digital da UE.
11
Privacy Matters
BSI/UK/1591/SC/0719/EN/GRP
O BSI tem estado na vanguarda dos padrões de segurança da informação desde 1995, tendo produzido a primeira norma do mundo,
BS 7799, agora ISO/IEC 27001, a norma de segurança da informação mais popular do mundo. E não paramos por aí, abordando as
novas questões emergentes, como privacidade, cibersegurança e segurança na nuvem. É por isso que estamos em melhor posição
para ajudá-lo.
Trabalhando com mais de 86.000 clientes em 193 países, o BSI é uma empresa verdadeiramente internacional com habilidades
e experiência em vários setores, incluindo automotivo, aeroespacial, ambiente construído, alimentação e saúde. Através de sua
experiência em Desenvolvimento de Normas e Soluções de Conhecimento, Garantia e Serviços Profissionais, o BSI melhora o
desempenho dos negócios para ajudar os clientes a crescer de forma sustentável, gerenciar riscos e, finalmente, ser mais resiliente.