Desde a introdução do
Regulamento Geral de Proteção de Dados da UE (RGPD), e o crescimento contínuo
de leis de proteção de dados comparáveis em todo o mundo, tem havido uma necessidade crescente de um padrão ou código de conduta para apoiar a conformidade
Embora já existam publicações e normas que discutem a proteção de dados, muitas delas não são internacionais, focando-se principalmente nos requisitos de proteção de dados e boas práticas em jurisdições específicas.
Por exemplo, a BS 10012 baseia-se exclusivamente no RGPD e na Lei de Proteção de Dados (DPA) 2018 do Reino Unido, o que o torna um candidato sólido para organizações com forte interesse regional.
Entretanto, uma abordagem baseada nas melhores práticas internacionais deve ser capaz de se adaptar a outros regimes e não impor exigências que dependam de legislação específica. Crucialmente, isso significa que esta norma (ISO 27701) oferece suporte à conformidade com uma gama internacional mais ampla de
proteção de dados e legislação de privacidade, incluindo o Health Information Portability and Accountability Act (HIPAA) e o California Consumer Privacy Act (CCPA) nos EUA.
Assim, a ISO/IEC 27701 (Técnicas de segurança – Extensão para ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de privacidade – Requisitos e diretrizes), publicado em agosto de 2019, visa preencher a lacuna de garantia e fornecer uma abordagem genuinamente internacional à proteção de dados como uma extensão da segurança da informação.
Originalmente baseada na ISO 27552, a ISO 27701 fornece requisitos e orientações específicas para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Privacidade da Informação (PIMS) como uma extensão do Sistema de Gestão de Segurança da Informação (ISMS) definido na ISO 27001, para considerar as proteções de privacidade requeridas para o correto processamento e tratamento de dados pessoais (Personally Identifiable Information - PII).
Esta ISO 27701 aplica-se aos Responsáveis pelo tratamento de dados (Controllers e também aos Joint Controllers) e aos Subcontratantes (Processors, incluindo Sub-Processors) dos dados pessoais, independentemente das jurisdições e setores em que operem.
Algumas considerações desta norma ISO 27701:
- Foca-se em novos requisitos e controlos no seu anexo, direcionados para a proteção de dados pessoais;
- Mais valia ao ser implementada pois permite demonstrar accountability (conformidade e responsabilidade) com o RGPD.;
- Orientada para a privacidade e baseada na ISO 27001;
- A sua certificação exigirá primeiro a certificação ISO 27001;
CONTACTE-NOS PARA + INFORMAÇÕES