Segurança ISO/IEC 27001 e privacidade GDPR

A norma ISO/IEC 27001 constitui uma excelente plataforma para a organização dar resposta aos requisitos de privacidade do GDPR. Constitui a plataforma necessária mas não suficiente.

O objetivo da segurança da informação é dotar a organização de um sistema capaz de garantir a confidencialidade, integridade e disponibilidade dos ativos críticos de informação da organização e prevenir incidentes que ponham em risco a reputação da organização e a sua capacidade de resposta aos clientes, acionistas, colaboradores e outras partes interessadas.

A implementação do sistema de gestão de segurança da informação (SGSI) protege as organizações com controlos humanos, funcionais e técnicos que reduzem os riscos a que os ativos estão expostos.

Constituem controlos ISO/IEC 27001 significativos para o GDPR:

  • Metodologia de avaliação dos riscos e garantia do seu tratamento
  • Controlo 8 Gestão de ativos, que implica a gestão dos ativos críticos para a organização e a classificação da informação face a sua exposição ao risco de quebra de confidencialidade, integridade e disponibilidade
  • Controlo 14 Desenvolvimento de SW com a garantia da Privacy by Design
  • Controlo 15 Gestão dos Fornecedores que implica a contratualização das relações entre responsáveis pelo controlo e processamento dos dados pessoais
  • Controlo 16 Incidentes de Segurança da informação, para gestão das notificações de brechas
  • Controlo 17 Gestão da continuidade do negócio em caso de cenário de crise com resultante quebra de reputação
  • Controlo 18 Compliance e 18.1.4 Proteção dos Dados Pessoais, para garantia de conformidade à legislação aplicável

A certificação do sistema de gestão de segurança da informação segundo a norma ISO/IEC 27001 por uma entidade certificadora acreditada é reconhecida internacionalmente e comprova que está implementada uma metodologia de gestão do risco, incluindo o risco do incumprimento dos requisitos do GDPR.

A segurança da informação é muito adequada para endereçar a privacidade, mas, não basta uma organização estar certificada segunda a norma ISO/IEC 27001 para estar conforme aos requisitos de privacidade do GDPR.

Constituem requisitos específicos do GDPR os seguintes:

  • Obrigação de avaliação do impacto das operações de tratamento suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, como tratamento automatizado, incluindo a definição de perfis e grande escala de categorias especiais de dados
  • Obrigação de consulta prévia à autoridade de controlo quando a avaliação de impacto sobre a proteção de dados indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco
  • Obrigação da nomeação do DPO nas condições previstas no Regulamento
  • Cumprir os direitos dos titulares dos dados pessoais como o direito de transparência e de ser informado; de acesso; de retificação, de bloqueio e apagamento; de objeção; de portabilidade; limitação das decisões automatizadas; e de apresentar reclamações à autoridade local.
  • Respeitar os princípios do tratamento dos dados pessoais como: licitude, lealdade e transparência; limitação das finalidades; minimização dos dados; dados exatos e atualizados; limitação da conservação; integridade e confidencialidade; responsabilização do responsável pelo tratamento e processamento
  • Verificação das condições aplicáveis ao consentimento
  • Verificação dos requisitos de tratamento de categorias especiais de dados pessoais

 

Para garantir a conformidade ao GDPR deve a organização:

 

PLAN

DO CHECK ACT

definir e aprovar o projeto de conformidade GDPR e seus objetivos

implementar os controlos do plano de tratamento dos riscos

acompanhar os alertas das entidades relevantes como a CNPD

comunicar ações de resposta a incidentes de segurança e privacidade

identificar o ciclo de vida dos dados pessoais

nomear o DPO e comunicar à autoridade de controlo verificar a atualidade dos processos e código de conduta

atualizar os processos e código de conduta

avaliar os riscos da segurança e privacidade

assegurar os direitos dos titulares dos dados pessoais auditar o sistema de segurança e privacidade

adotar soluções tecnológicas  que reforcem a segurança e privacidade

decidir qual o plano de tratamento dos riscos, responsáveis e recursos

atualizar os processos e código de conduta medir o nível de risco após implementação do plano de tratamento

manter o cumprimento dos direitos dos titulares dos dados pessoais

identificar a necessidade de nomear o DPO formar os colaboradores sobre o comportamento seguro avaliar o  desempenho face aos objetivos

atuar no sentido da melhoria e desempenhos crescentes

 

Consulte a QualiWork para obter mais informação!

Sónia Vieira

Diretora

Outubro 2017

 

SERVIÇOS QUALIWORK

A QualiWork é uma empresa de consultoria e formação, sendo, desde 2004, certificada pela NP EN ISO 9001. Efetuou a transição do seu Sistema de Gestão da Qualidade para a ISO 9001:2015 em Abril 2016 no âmbito de:

  • Prestação de serviços de Consultoria, Formação e Auditoria no âmbito de normas de referência nacionais e internacionais a Entidades Públicas e Privadas (Qualidade, ISO 20000 IT Service Management, Segurança da Informação, Cadeia de Responsabilidade Florestal FSC ® e PEFC ®, Ambiente, Investigação, Desenvolvimento e Inovação IDI, Segurança no Trabalho, Segurança Alimentar, Gestão da Formação DGERT, entre outros)
  • Consultoria em mapeamento de processos

 

É, desde Abril 2009, uma Entidade Formadora certificada pela DGERT, o que permite aos seus clientes usufruir de diversas vantagens, sendo a mais notória o facto das formações frequentadas serem isentas de IVA e os certificados emitidos aos formandos estarem enquadrado nesta certificação.

 

Para informação mais detalhada sobre estes serviços deverá entrar em contacto com:

sonia.vieira@qualiwork.pt 917842136 – pedro.santana@qualiwork.pt 917843174

 

Bibliografia/Referências:

 

O presente documento constitui um resumo e interpretação livre por parte da QualiWork não dispensando nem substituindo a leitura da legislação aplicável.

Related Post

Nova ISO 9001:2015

A norma NP EN ISO 9001:2015 Qualidade, foi publicada a 15 de setembro