0

5 PASSOS PARA ENTENDER A

ABNT NBR ISO/IEC 27701:2019
O que é e como entender a aplicação da norma para gestão da privacidade da
informação em 5 passos.

José Antonio Milagre

consultor@josemilagre.com.br
Professor, advogado, perito em informática. Diretor da CyberExperts.

youtube.com/josemilagre
Instagram: @drjosemilagre Facebook: @drjosemilagre

CyberExperts Inteligência Cibernética

(11) 3254-7616
Avenida Engenheiro Luis Carlos Berrini, 550, 4º. Andar, Brooklin, São Paulo/SP.

1
 © 2019 José Antonio Milagre
Fone: (11) 3254-7616
Site: www.josemilagre.com.br
E-mail: consultor@josemilagre.com.br
Facebook: drjosemilagre
www.periciasdigitais.com.br

Dados Internacionais da Catalogação na Publicação (CIP)

..................................................................................................................
.....

Milagre, José Antonio.

5 Passos para entender a ABNT NBR ISO/IEC 27701:2019
– São Paulo: CyberExperts, 2019

v.1 – atualizado em 10 dez. 2019

1.GDPR 2. ISO/IEC 27701 3. Dados pessoais 4. Proteção de dados

..................................................................................................................
.....
Índice para catálogo sistemático:
1.Dados pessoais

Sumário
Introdução .................................................................................................................................. 4
1 Aplicabilidade e relação com demais normas ......................................................................... 5
2 Modelo de extensão: Integração entre as práticas de segurança e privacidade ................... 6
3 Cinco passos para entender a norma ...................................................................................... 7
3.1 Passo 1: Seção 5 Requisitos específicos de um SGPI ...................................................................... 7
3.2 Passo 2: Seção 6 Diretrizes específicas de um SGPI ....................................................................... 7
3.3 Passo 3: Seção 7 Diretrizes adicionais à 27002 para controladores de DP .................................... 8
3.4 Passo 4: Seção 8 Diretrizes adicionais à 27002 para operadores de DP ........................................ 8
3.5 Passo 5: Anexos A, B, C, D, E, F e Anexo N/A (destinado à LGPD) .................................................. 9
4 Próximos passos .................................................................................................................... 11
5 Conclusões ............................................................................................................................. 12
Referencial ................................................................................................................................ 13

3
Introdução

A norma ISO 27701 especifica os requisitos e fornece diretrizes para o
estabelecimento, implementação, manutenção e melhoria contínua de um
Sistema de Gestão de Privacidade da Informação (SGPI).

Trata-se de um importante passo para o Brasil, considerando que no lançamento
da norma, em 9 de dezembro de 2019, na ABNT, foi informado que poucos
países do mundo já iniciaram as traduções ou a internalização da norma
internacional, o que coloca o país na vanguarda no estabelecimento de padrões
técnicos para gestão da privacidade da informação.

Assim como as demais normas da família 27000, em especial 27001 e 27002, a
ISO 27701 apresenta requisitos relacionados ao SGPI (Sistema de Gestão da
Privacidade da Informação) e também diretrizes para os controladores e
operadores de dados pessoais, atores com grandes responsabilidades nas
atividades de tratamento.

4
1 Aplicabilidade e relação com demais normas

Vale destacar que a norma em estudo é aplicável a todos os tipos de
organizações, tanto públicas como privadas. Para implementar a ISO 27701 é
preciso também se atentar a outras normas, como a própria ISO 29100, que traz
o Privacy Framework (Princípios de privacidade).

A 27701 também tem relação com as seguintes normas:

1) ISO/IEC: 19994
2) ISO/IEC: 20889
3) NBR 27005
4) NBR 27018
5) ISO/IEC: 27035-1
6) ISO/IEC: 29101
7) ISO/IEC: 29134
8) ISO/IEC: 29151
9) ISO/IEC 29184

5
2 Modelo de extensão: Integração entre as práticas de segurança e
privacidade

A concepção da ISO 27701 se dá como uma extensão de requisitos da ISO 27001
e de diretrizes da 27002, todos focados em privacidade da informação. Optou o
grupo de trabalho do órgão técnico por ampliar as normas já existentes relativas
à segurança da informação, fornecendo uma extensão, considerando que não
haveria a necessidade de se manter dois sistemas de gestão, um de segurança
da informação e outro de privacidade da informação.

Neste contexto, é preciso que fique claro que a norma complementa as demais
normas de segurança da informação com seus requisitos estendidos ou
específicos.

Assim, é preciso ter em mente que a base continua sendo as normas ISO 27001
(que trata dos requisitos) e 27002 (que trata das diretrizes). Nenhuma diretriz
da nova ISO 27701 pode invalidar os requisitos das normas anteriores.

6
3 Cinco passos para entender a norma

Ter uma compreensão clara da 27701 e saber como aplicá-la se revela
fundamental. Deste modo, apresentamos 5 (cinco) passos para compreensão
rápida da arquitetura do texto, sem pretensão de esgotar a temática de
entendimento, porém fornecendo instruções simples e iniciais para
entendimento imediato.

Para que seja possível entender as explicações, recomendamos que esteja com
a norma em mãos. O leitor pode comprar a norma diretamente no site da ABNT,
já traduzida para o português.

Acesse: https://www.abntcatalogo.com.br/norma.aspx?ID=432584

3.1 Passo 1: Seção 5 Requisitos específicos de um SGPI

Na seção 5 da norma (fls. 5), nós temos os requisitos específicos de um SGPI e
requisitos de segurança da informação da ISO 27001, apropriados para
empresas que atuam como controlares ou processadores.

Temos incorporados os requisitos de 4 a 10 da 27001, acrescidos de requisitos
adicionais. A norma inclusive faz o mapeamento da localização dos requisitos
específicos de SGPI em comparação com os requisitos de segurança da
informação (ISO 27001), onde vemos requisitos adicionais somente nas seções
5.2 (geral) e 5.4 (planejamento).

3.2 Passo 2: Seção 6 Diretrizes específicas de um SGPI

Na seção 6 da ISO 27701 temos, por sua vez, a localização das diretrizes
específicas de SGPI e o mapeamento através das seções da ISO 27002. Ao
contrário da seção 5 (requisitos), na seção 6 (diretrizes), percebemos que muitas
são as diretrizes adicionais/extensões trazidas pela ISO 27701, sendo somente a
subseção 6.14 sem diretrizes adicionais, ou seja, gestão da continuidade do
negócio.
7
Assim, via de regra, a norma “replica” conceitos, requisitos e diretrizes das ISOs
27001 e 27002 e quando adiciona itens específicos, normalmente esclarece
expressamente, a exemplo: “A ABNT ISO/IEC 27001:2013,6.1.2, se aplicam com
as seguintes extensões”. De maneira que fica fácil compreender e visualizar as
extensões específicas da nova norma. Para entender essa dinâmica em detalhes,
é imperioso consultar o Anexo F, que nos ensina como aplicar a ISO 27701 com
base nas normas 27001 e 27002.

3.3 Passo 3: Seção 7 Diretrizes adicionais à 27002 para controladores de DP

Na seção 7 da norma, continuamos tratando de diretrizes (ISO 27002), só que
aqui, o órgão técnico disciplinou diretrizes específicas/adicionais para o SGPI e
para controladores de dados pessoais, as quais também se relacionam com o
Anexo A da norma, que é destinado a controladores.

É neste ponto que sentimos maior “familiaridade” com as regras, princípios,
direitos e deveres dos titulares dos dados previstos nas Leis de Proteção de
Dados. Nesta seção, veremos por exemplo, as condições do tratamento,
identificação de base legal para o tratamento de dados, gestão do
consentimento (7.2.3), plano de impacto à privacidade (7.2.5) dentre outros
itens como privacy by default e privacy by design (7.4).

3.4 Passo 4: Seção 8 Diretrizes adicionais à 27002 para operadores de DP

Na seção 8, tal como visto acima (3.4), temos as diretrizes específicas para
operadores ou subcontratados. A norma traz um detalhamento pertinente,
chegando, por exemplo, a orientar controladores a não utilizarem os DP tratados
sob um contrato para o propósito de marketing ou propaganda, sem o que
denomina de “consentimento antecipado” ou, ainda, regras envolvendo a
mudança de um subcontratado no tratamento de dados, o que pressupõe uma
autorização por escrito.

8
3.5 Passo 5: Anexos A, B, C, D, E, F e Anexo N/A (destinado à LGPD)

Ao final da norma temos os Anexos. São importantes referências para rápida
comparação de normas ou adesão a preceitos legais e serão muito utilizados em
processos de adequação.

O Anexo A traz referências específicas a controles e objetivos de controles (para
controladores de DP). A norma 27001 tem 114 controles, a 27002 orienta a
implementação dos mesmos e o Anexo A traz controles específicos de
privacidade.

O mesmo para o Anexo B, destinado aos operadores de dados pessoais. O Anexo
C mapeia os princípios de privacidade da ISO 29100 com os controles aplicados
a controladores de dados pessoais.

Releva notar que a própria norma estabelece que nem todos os controles
podem ser incluídos na implementação de um SGPI e isso vai depender muito
da avaliação de riscos a ser realizada (Norteada pela ISO 27005). Porém, a
exclusão de qualquer controle deverá ser justificada na declaração de
aplicabilidade, que tem o objetivo de definir quais controles são adequados para
a implementação, quais são seus objetivos e como eles são implementados,
além de aprovar riscos residuais e aprovar formalmente a implementação
desses controles.

Por fim, outro item importantíssimo da norma é a correlação ou mapeamento
entre a GDPR (General Data Protection Regulation) e LGPD (Lei Geral de
Proteção de Dados), respectivamente nos Anexos D e N/A. Neste ponto,
podemos observar claramente como o compliance com os requisitos e controles
da norma podem ser relevantes para o cumprimento da maior parte das
obrigações previstas nas Leis, de um modo muito simples e estruturado.

Na tabela prevista na ISO 27701, na coluna da esquerda, temos as subseções da
norma ISO 27701 e na da direita, os correspondentes artigos ou da GDPR ou da
LGPD. Nossa recomendação é que a auditoria ou consultoria continue a análise
da conformidade com base nos artigos das Leis, e a partir deles, busque na
9
norma os controles previstos para a satisfação das exigências legais.

Importante, igualmente, também considerar o Anexo E, que trata da relação da
27701 com as normas 27018 (serviços públicos de computação na nuvem) e
29151 (controles adicionais e diretrizes para o tratamento de DP pelos
controladores).

10
4 Próximos passos

Após o adequado entendimento da norma, o que fazer para iniciar o processo
de implantação?

São importantes atividades que descrevem os passos para o sucesso na
implementação, dentre elas temos: a) a definição do escopo do SGPI, b) a análise
de GAPS com base na norma, c) uma adequada avaliação dos riscos em
privacidade da informação, não só internamente, como também em relação a
terceiros (fornecedores e operadores), e, consequentemente d) a
implementação dos controles necessários, sem olvidar da e) constante
capacitação da equipe, uma medida organizativa muito importante.

11
5 Conclusões

Como visto, a ISO 27701 tem como objetivo contribuir para que empresas
demonstrem às agências, órgãos públicos, investidores e à sociedade, que a
organização está empenhada em adotar controles eficazes e que são
consideradas as melhores práticas internacionais em proteção de dados. A
norma então, não só cria confiança junto ao mercado, aprimorando a reputação
de negócios e gerando oportunidades, mas também auxilia fortemente no
compliance com a Lei Nacional e Europeia.

Em síntese, este e-book traz uma explicação básica e ao mesmo tempo precisa
e objetiva sobre o que é a ISO 27701, seu modelo proposto (de extensão e não
de um novo sistema de gestão) e os 5 (cinco) passos necessários para
compreender a aplicabilidade da mesma, e com isso, utilizar as seções da norma
na adequação de empresas e negócios.

Compreendendo bem a norma, é hora de iniciar o plano de implementação, que
envolve avaliação, priorização de pontos críticos, implementações e auditoria.
Neste ponto (auditoria), o ideal é que sejam feitas auditorias em períodos não
superiores a 6 (seis) meses, pelo menos nos primeiros anos de implementação
das práticas.

Logicamente, resta claro que não se certifica ISO 27701 sem que haja superação
das disposições da norma 27001 e 27002 e, neste sentido, quem já está
certificado nas normas, por organismo de certificação acreditado e que também
segue regras específicas, poderá atender à 27701, aproveitando ou
acrescentando requisitos, conforme previsto.

Não há tempo a perder. Quanto mais ágil for a resposta corporativa a esta
importante fase que inaugura a ISO 27701, melhor para o avanço rumo à adoção
de padrões reconhecidos de conformidade.



12
Referencial

José Antonio Milagre, Diretor da CyberExperts Inteligência Cibernética, atuando
em projetos de consultoria e adequação de empresas à Lei Geral de Proteção de
Dados e ISO 27701, Advogado especialista em Direito Digital e Proteção de
Dados, técnico em processamento de dados, perito em informática, Mestre e
Doutorando em Ciência da Informação pela UNESP (Universidade Estadual
Paulista),Pesquisador em direito e dados do Núcleo de Estudos em Web
Semântica e Análise de Dados da USP (Universidade de São Paulo). Fundador do
Instituto de Defesa do Cidadão e Consumidor na Internet - IDCI, Presidente da
Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, Autor de dois
livros pela Editora Saraiva (Marco Civil da Internet: Comentários a Lei
12.975/2014 e Manual de Crimes Informáticos), Privacy e Data Protection
Certified by EXIN, Data Protection Officer (DPO) Certified ITCERTS.CA.

Como citar este e-book:

Milagre, José Antonio.5 Passos para entender a ABNT NBR ISO/IEC
27701:2019. CyberExperts. Disponível
em:<http://www.josemilagre.com.br>. Acesso em: XX mês. XXXX





Oferecimento:

Curso ISO 27701: Implementando o Sistema de Gestão em Privacidade da Informação
Informações e calendário de cursos:
Facebook.com/cyberexpertsbr
WhatsApp: (11) 98105-6959

13